인터넷 검색시 광고창을 생성하며 사용자가 프로그램을 삭제한 이후에도 보안 솔루션처럼 위장한 광고 파일을 이용하여 지속적으로 수익을 창출할 수 있는 국내에서 제작된 "micro + micro 1.0.0.1" 광고 프로그램<SHA-1 : d1664dfb9d0e1ec7e97e5710b3134a9af0d6f590 - Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 19/54)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존부터 보안 관련 프로그램처럼 위장하여 다양한 이름으로 지속적으로 발견되고 있으므로 참고하시기 바랍니다.
C:\Program Files\micro
C:\Program Files\micro\microd.exe :: 메모리 상주 프로세스
C:\Program Files\micro\microi.exe
C:\Program Files\micro\microm.exe :: 시작 프로그램(micro) 등록 파일
C:\Program Files\micro\micros.exe :: 서비스(micro service) 등록 파일
C:\Program Files\micro\microu.exe :: micro 프로그램 삭제 등록 파일
C:\Windows\microengine.dll :: BHO 등록 파일
C:\Windows\microsecurity.exe :: 서비스(Micro Security Service) 등록 파일
C:\Windows\System32\msvcr110.dll
C:\Program Files\micro\microd.exe
- SHA-1 : c8b18294d2417f8d0b7a464abc842e2ec57a078a
- Avira : Adware/Searchclick.3657872 (VT : 8/53)
C:\Program Files\micro\microi.exe
- SHA-1 : f467ede2bc947eedc20792623c7d9aeecf36a402
- AVG : Generic.B9B (VT : 1/53)
C:\Program Files\micro\microm.exe
- SHA-1 : f8c03314f593ca12222f07dc486dfbc3da3a6a70
- AVG : Generic.B9B (VT : 1/52)
C:\Program Files\micro\micros.exe
- SHA-1 : 2b6e65ff9f1ca14efaf0b1be48f5a927abc28e28
- AVG : Generic.B9B (VT : 1/53)
C:\Program Files\micro\microu.exe
- SHA-1 : d220ac20a6a35008ccfef57e1990a2f22258f8d9
- AVG : Generic.B9B (VT : 1/54)
C:\Windows\microengine.dll
- SHA-1 : dc0bc643c6d9d833e9587999eaf5a44e3c6dcb77
- Avira : Adware/Agent.260248 (VT : 11/53)
C:\Windows\microsecurity.exe
- SHA-1 : 1f44e68e79d0c8462f5a90be101ac4734200a485
- Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 2/54)
"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\micro" 폴더와 Windows 폴더 내에 파일을 생성합니다.
1. micro 시작 프로그램 등록 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- micro = "C:\Program Files\micro\microm.exe"
Windows 시작시 micro 시작 프로그램 등록값을 통해 "C:\Program Files\micro\microm.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\micro\microd.exe" 파일을 로딩하여 메모리에 상주시킵니다.
이를 통해 microd.exe 파일은 특정 IP 서버에 배포 파일 코드, Mac Address, IP, 운영 제체 비트수, 해상도, Internet Explorer 웹 브라우저 버전 정보를 전송하여 실행 카운터(Counter)를 체크합니다.
이를 통해 Internet Explorer 웹 브라우저를 이용한 인터넷 검색 과정에서 광고창 생성을 통한 수익을 창출할 수 있습니다.
2. "micro service" 서비스 등록 정보
"micro service (표시 이름 : micro)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\micro\micros.exe" 파일을 자동 실행하도록 구성되어 있습니다.
실행된 서비스 파일(micros.exe)은 "HKEY_LOCAL_MACHINE\SOFTWARE\micro\SERVICE_FLAG" 레지스트리 값을 체크한 후 자동 종료 처리됩니다.
3. "Micro Security Service" 서비스 등록 정보
"Micro Security Service (표시 이름 : Micro Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\microsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.
- h**p://211.***.115.**/app/bho/microengine.dll (SHA-1 : dc0bc643c6d9d833e9587999eaf5a44e3c6dcb77) - Avira : Adware/Agent.260248 (VT : 11/53)
실행된 서비스 파일(microsecurity.exe)은 브라우저 도우미 개체(BHO)로 등록된 "C:\Windows\microengine.dll" 파일을 체크하여 파일이 삭제 또는 구버전인 경우 특정 IP 서버로부터 파일을 다운로드하며 관련 레지스트리 값을 체크하여 재등록한 후 자동 종료 처리됩니다.
4. microengine 브라우저 도우미 개체(BHO) 등록 정보
이전에 배포하던 해당 광고 프로그램 시리즈에서는 브라우저 도우미 개체(BHO)를 사용자 동의없이 자동으로 등록하였지만, 이번 광고 프로그램에서는 레지스트리 조작 기능을 뺀 것으로 확인되고 있습니다.
|
이름 |
microengine |
|
게시자 |
FAMOUS SOLUTION Co.LTD,,, |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{358D8A21-5EFC-46CB-AAA6-B1552639222D} |
|
파일 |
C:\Windows\microengine.dll |
사용자가 "micro + micro 1.0.0.1" 광고 프로그램이 설치된 이후 Internet Explorer 웹 브라우저 실행시 microengine 추가 기능을 사용하도록 설정한 경우 "C:\Windows\microengine.dll" 광고 모듈을 브라우저 도우미 개체(BHO)로 등록하여 함께 로딩되도록 구성되어 있습니다.
이를 통해 Internet Explorer 웹 브라우저 동작시 함께 로딩된 "C:\Windows\microengine.dll" 광고 모듈은 인터넷 검색을 통한 웹 브라우저 연결시 특정 IP 서버에 배포 파일 코드, Mac Address, 운영 체제 비트수, Internet Explorer 웹 브라우저 버전 정보를 전송하여 광고 구성값 정보를 체크할 수 있습니다.
만약 유효한 조건에 만족시킬 경우 웹 사이트 접속 과정에서 제휴 코드 삽입 또는 광고창 생성 등의 수익 활동을 전개할 수 있습니다.
■ "micro + micro 1.0.0.1" 프로그램 삭제 방법
해당 프로그램이 설치된 경우 제어판에 "micro"와 "micro 1.0.0.1" 2개의 프로그램으로 등록하여 사용자에게 혼동을 유발하고 있습니다.
- micro → C:\Program Files\micro\microu.exe
- micro 1.0.0.1 → C:\Program Files\micro\Uninstall.exe
하지만 제어판에 등록된 "micro 1.0.0.1" 프로그램의 삭제 파일은 실제로는 존재하지 않은 "C:\Program Files\micro\Uninstall.exe" 파일로 연결되어 있는 가짜 삭제 목록임을 알 수 있습니다.
그러므로 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 microd.exe 프로세스를 종료한 후 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음과 같이 삭제를 진행하시기 바랍니다.
- 제어판에서 "micro" 삭제 항목 실행시 : "C:\Program Files\micro" 폴더 내에 존재하는 파일을 삭제하며, 시스템에 따라서는 프로그램 삭제 이후에도 "micro" 삭제 항목이 제거되지 않습니다.
- 제어판에서 "micro 1.0.0.1" 삭제 항목 실행시 : 오류창 생성 → "예(Y)" 버튼을 클릭하여 삭제 항목을 삭제하시기 바랍니다.
제어판에 등록된 "micro" 삭제 항목을 이용하여 프로그램 삭제 후에도 해당 삭제 항목이 제거되지 않는 것으로 보이므로 다시 한 번 "micro" 삭제 항목을 클릭하여 오류창이 생성되면 "예(Y)" 버튼을 클릭하여 제거하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{625C75AF-1128-47A1-B68A-B135108E6118}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8ED0B5EA-5202-4B20-9DE6-8B1B14738D35}
HKEY_LOCAL_MACHINE\SOFTWARE\micro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- micro = "C:\Program Files\micro\microm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\micro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\micro 1.0.0.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Micro Security Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\micro service
하지만 제어판을 통해 프로그램을 삭제한 이후에도 "Micro Security Service (표시 이름 : Micro Security)" 서비스와 "C:\Windows\microengine.dll" 브라우저 도우미 개체(BHO) 파일을 삭제하지 않고 지속적으로 동작하도록 제작되어 있으므로 다음과 같은 절차에 따라 반드시 추가 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Micro Security Service"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 파일을 찾아 직접 삭제하시기 바랍니다.
- C:\Windows\microengine.dll
- C:\Windows\microsecurity.exe
(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}" 레지스트리 값을 찾아 삭제하시기 바랍니다.
"micro + micro 1.0.0.1" 광고 프로그램은 제어판을 통해 정상적으로 삭제를 지원하는 것처럼 보이지만, 프로그램 삭제 이후에도 일부 광고 기능을 여전히 유지하여 시스템 시작시마다 업데이트 수행 및 인터넷을 이용하는 과정에서 지속적으로 타인의 돈벌이 수단으로 이용되므로 설치되지 않도록 주의하시기 바랍니다.