Windows 기본 설정값(사용자 계정 컨트롤(UAC), 확장 프로그램 사용자 동의) 강제 변경 및 인터넷 검색시 광고창을 생성하는 "msssoft + msssoft 1.0.0.1" 프로그램<SHA-1 : 781a9b9d25356c7ca680bcf2d092c9bf7ca804a3 - Avira : Adware/Agent.gevy.1 (VT : 16/52)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 유사한 기능을 가진 서치클릭(SearchClick) 계열 광고 프로그램의 변종이므로 참고하시기 바랍니다.
특히 "msssoft + msssoft 1.0.0.1" 광고 프로그램은 삭제 이후에도 마이크로소프트(Microsoft) 보안 프로그램처럼 등록된 파일을 이용하여 지속적으로 광고 기능을 수행하도록 제작되어 있으므로 사용자에 의한 추가적인 삭제가 필요합니다.
C:\Program Files\msssoft
C:\Program Files\msssoft\msssoftd.exe :: 메모리 상주 프로세스
C:\Program Files\msssoft\msssofti.exe
C:\Program Files\msssoft\msssoftm.exe :: 시작 프로그램(msssoft) 등록 파일
C:\Program Files\msssoft\msssofts.exe :: 서비스(msssoft service) 등록 파일
C:\Program Files\msssoft\msssoftu.exe :: msssoft 프로그램 삭제 파일
C:\Windows\mssclient.dll :: BHO 등록 파일
C:\Windows\msssecurity.exe :: 서비스(MSS Security Service) 등록 파일
C:\Windows\System32\msvcr110.dll
C:\Program Files\msssoft\msssoftd.exe
- SHA-1 : 7193739a3b13b2ac6cea4a59e808ce898612c2dc
- ESET : a variant of Win32/AdWare.Searchclick.A (VT : 3/54)
C:\Program Files\msssoft\msssofti.exe
- SHA-1 : ef312e83f0a0d5775c2b8e85b2d5f9cdca15b8e0
- avast! : Win32:Adware-gen [Adw] (VT : 4/54)
C:\Program Files\msssoft\msssoftm.exe
- SHA-1 : c48f5146b65c8386057bc75132153df4d24d6bf2
- AVG : Generic.B9B (VT : 1/53)
C:\Program Files\msssoft\msssofts.exe
- SHA-1 : a431a9e5bd303c93127008ac4b58b7707d00f2d8
- ESET : a variant of Win32/AdWare.Searchclick.A (VT : 4/54)
C:\Program Files\msssoft\msssoftu.exe
- SHA-1 : d446ab58e04731b3a5ed04c836cbb51c519cad66
- avast! : Win32:Adware-gen [Adw] (VT : 4/53)
C:\Windows\mssclient.dll
- SHA-1 : ef83a5769cd64e14da05b4e9a4ecdf68a4522a18
- AVG : Generic.B9B (VT : 5/53)
C:\Windows\msssecurity.exe
- SHA-1 : b7f93c30709768a1c752a97276b551882eadbe97
- Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 3/54)
"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\msssoft" 폴더와 Windows 폴더 내에 파일을 각각 생성합니다.
1. "msssoft" 시작 프로그램 등록 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- msssoft = "C:\Program Files\msssoft\msssoftm.exe"
Windows 시작시 msssoft 시작 프로그램 등록값을 등록하여 "C:\Program Files\msssoft\msssoftm.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\msssoft\msssoftd.exe" 파일을 로딩하여 메모리에 상주시킵니다.
메모리에 상주한 msssoftd.exe 파일은 특정 서버에 배포 파일 코드, 사용자 Mac Address, IP 주소, 운영 제 체제 종류, 해상도, Internet Explorer 웹 브라우저 버전 정보를 전송하여 실행 카운터(Counter)를 체크합니다.
프로그램이 설치된 환경에서 특정 검색 키워드를 이용한 인터넷 검색시 자동으로 광고창이 생성되는 동작을 수행할 수 있습니다.
2. "msssoft service" 서비스 등록 정보
"msssoft service (표시 이름 : msssoft)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\msssoft\msssofts.exe" 파일을 자동 실행하도록 구성되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\
System
- EnableLUA = 1 :: 기본값
- EnableLUA = 0 :: 변경 후
자동 실행된 "C:\Program Files\msssoft\msssofts.exe" 파일은 Windows 운영 체제에서 기본적으로 활성화된 사용자 계정 컨트롤(UAC) 보안 기능을 비활성화 처리합니다.
사용자 계정 컨트롤(UAC) 보안 기능을 알리지 않도록 설정함으로 인해 차후 추가적인 프로그램 실행시 사용자가 인지하도록 못하게 할 수 있습니다.
3. "MSS Security Service" 서비스 등록 정보
"MSS Security Service (표시 이름 : MSS Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\msssecurity.exe" 파일을 자동 실행하도록 구성되어 있으며, 다음과 같은 동작을 수행한 후 자동 종료 처리됩니다.(※ 해당 서비스는 프로그램 삭제 이후에도 제거되지 않고 지속적으로 동작합니다.)
(1) 사용자 계정 컨트롤(UAC) 설정 변경
자동 실행된 "C:\Windows\msssecurity.exe" 서비스 파일은 "C:\Program Files\msssoft\msssofts.exe" 서비스 파일과 마찬가지로 사용자 계정 컨트롤(UAC) 설정값을 체크하여 알림 기능이 활성화된 경우 알리지 않도록 강제로 변경합니다.
(2) Internet Explorer 웹 브라우저의 확장 프로그램 추가 알림 기능 중지
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
자동 실행된 "C:\Windows\msssecurity.exe" 서비스 파일은 Internet Explorer 웹 브라우저에 확장 프로그램이 추가될 경우 하단에 생성되는 노란색 알림바를 생성하지 못하도록 레지스트리 값을 조작하여 자동으로 추가하도록 변경합니다.
(3) "MSS Client Plus-In" 브라우저 도우미 개체(BHO) 등록
"msssoft + msssoft 1.0.0.1" 광고 프로그램 설치로 인해 자동으로 추가되는 "MSS Client Plus-In" 브라우저 도우미 개체(BHO) 등록값 및 파일(C:\Windows\mssclient.dll)을 부팅시마다 체크합니다.
- h**p://www.search*****.co.kr/app/bho/mssclient.dll (SHA-1 : ef83a5769cd64e14da05b4e9a4ecdf68a4522a18) - AVG : Generic.B9B (VT : 5/53)
만약 "MSS Client Plus-In" 브라우저 도우미 개체(BHO) 등록 파일(C:\Windows\mssclient.dll) 파일이 삭제된 경우 자동으로 다운로드를 통해 재생성합니다.
또한 "MSS Client Plus-In" 브라우저 도우미 개체(BHO) 항목이 사용자에 의해 "사용 안 함"으로 설정되어 있는 경우 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\
Settings\{64C1EAD9-0B6D-4E1F-84E6-DC59E7545CB4}" 레지스트리 값을 자동 삭제를 통해 "사용 함"으로 자동 변경합니다.
4. "MSS Client Plus-In" 브라우저 도우미 개체(BHO) 등록 정보
|
이름 |
MSS Client Plus-In |
|
게시자 |
FAMOUS SOLUTION Co.LTD,,, |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{64C1EAD9-0B6D-4E1F-84E6-DC59E7545CB4} |
|
파일 |
C:\Windows\mssclient.dll |
Internet Explorer 웹 브라우저 실행시 "MSS Client Plus-In" 브라우저 도우미 개체(BHO)로 등록된 "C:\Windows\mssclient.dll" 광고 모듈이 로딩됩니다.
실행된 "C:\Windows\mssclient.dll" 광고 모듈은 특정 서버에 배포 파일 코드, 사용자 Mac Address 주소, 운영 체제 종류, Internet Explorer 웹 브라우저 버전 정보를 전송하여 추가적인 광고 구성값 정보를 체크합니다.(※ 테스트 당시에는 추가된 광고 구성값 정보가 없지만 기존의 사례를 토대로 유추해보면 특정 인터넷 쇼핑몰 접속시 제휴 코드가 자동으로 추가될 수 있습니다.)
특히 "C:\Windows\mssclient.dll" 광고 모듈은 프로그램 삭제 이후에도 제거되지 않으며 함께 제거되지 않는 "MSS Security Service" 서비스 파일(C:\Windows\msssecurity.exe)을 통해 지속적으로 다운로드 및 실행되어 수익을 창출할 수 있습니다.
■ "msssoft + msssoft 1.0.0.1" 프로그램 삭제 방법
해당 프로그램이 설치된 환경에서는 제어판에 "msssoft", "msssoft 1.0.0.1" 2개의 프로그램이 설치되어 있는 것처럼 표시되어 있습니다.
하지만 "msssoft 1.0.0.1" 프로그램의 삭제 파일 정보를 확인해보면 실제 존재하지 않는 "C:\Program Files\msssoft\Uninstall.exe" 파일로 등록되어 있는 유효하지 않은 프로그램입니다.
- 제어판에서 "msssoft" 삭제 항목 실행시 : "C:\Program Files\msssoft" 폴더 내의 파일 제거(※ Windows 작업 관리자를 실행하여 메모리에 상주하는 msssoftd.exe 프로세스 종료 및 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 삭제를 진행하시기 바랍니다.)
- 제어판에서 "msssoft 1.0.0.1" 삭제 항목 실행시 : 오류창 생성 → "예(Y)" 버튼 클릭
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64C1EAD9-0B6D-4E1F-84E6-DC59E7545CB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8CC29AD8-09A0-4651-9B73-7ED110B09725}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mssclient.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mssclient.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7344CB3C-25BB-462A-BFA0-EAE87670555A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64C1EAD9-0B6D-4E1F-84E6-DC59E7545CB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- msssoft = "C:\Program Files\msssoft\msssoftm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msssoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\msssoft 1.0.0.1
HKEY_LOCAL_MACHINE\SOFTWARE\msssoft
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSS Security Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\msssoft service
이처럼 제어판을 통한 프로그램 삭제 이후에도 Windows 폴더 내에 존재하는 마이크로소프트(Microsoft) 보안 프로그램처럼 등록된 일부 광고 기능이 지속적으로 동작하여, Windows 기본 설정값 무단 변경 및 "C:\Windows\mssclient.dll" 파일을 지속적으로 다운로드할 수 있으므로 다음과 같은 추가적인 삭제 절차에 따라 제거하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 실행하여 생성된 명령 프롬프트 창에 [sc delete "MSS Security Service"] 명령어를 입력 및 실행하여 삭제되지 않은 "MSS Security Service" 서비스 값을 자동 삭제하시기 바랍니다.
(b) 다음의 파일을 찾아 직접 삭제하시기 바랍니다.
- C:\Windows\mssclient.dll
- C:\Windows\msssecurity.exe
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{64C1EAD9-0B6D-4E1F-84E6-DC59E7545CB4}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
(d) "제어판 → 시스템 및 보안 → 관리 센터 → 사용자 계정 컨트롤 설정 변경" 메뉴를 실행하여 사용자 계정 컨트롤(UAC) 슬라이드 바를 1단계 또는 2단계(기본값)로 올린 후 Windows 재부팅을 통해 적용하시기 바랍니다.
그러므로 "msssoft + msssoft 1.0.0.1" 광고 프로그램이 설치되었던 분들은 제어판을 통한 프로그램 삭제 이후에도 Windows 폴더 내에 존재하는 추가적인 광고 파일을 찾아 제거하시기 바랍니다.