인터넷 검색 및 웹 사이트 접속시 다양한 광고창 생성 또는 바로가기 아이콘 생성 기능과 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows MouseUtil" 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.

 

특히 해당 프로그램은 Internet Explorer 웹 브라우저에서 마우스(Mouse) 우클릭을 통한 복사 방지 기능을 해제할 수 있는 유용한 프로그램처럼 소개되어 설치되는 것으로 보입니다.

 

제휴(스폰서) 배포 프로그램 : EasyClean - ecsmumnec.exe

 

먼저 "Windows MouseUtil" 광고 프로그램과 같은 유사 프로그램의 설치를 목적으로 제작된 EasyClean 배포 프로그램 정보를 살펴보겠습니다.(※ 변종에 따라서는 이지클린으로 표시될 수 있으며, 제어판에 표시되지 않는 경우도 있습니다.)

 

파일 경로

 C:\Windows\ecsmumnec.exe

MD5

 6E1A18B44FB01A31198D848617632B41

진단명

 Gen:Variant.Zusy.101494 (BitDefender)

제품 이름

 EasyClean

파일 설명

 ecsmumnec.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ecsmumnec

비고

 서비스(ecsmumnec) 등록 파일

 

EasyClean 프로그램은 설치 방식이 특정 서버로부터 service.zip 압축 파일을 다운로드 및 압축 해제하여 생성된 service.exe 파일을 Windows 폴더 내에 다양한 파일명과 서비스 이름으로 설치가 이루어집니다.

 

이를 통해 등록된 ecsmumnec 서비스 항목은 시스템 시작시 "C:\Windows\ecsmumnec.exe" 파일을 자동 실행하여 특정 업데이트 서버에 등록된 추가적인 프로그램이 존재할 경우 업데이트 창을 생성하여 다양한 제휴 프로그램의 설치를 유도할 수 있을 것으로 추정됩니다.

 

일반적으로 프로그램 삭제는 제어판에 등록된 "EasyClean" 삭제 항목으로 삭제할 수 있지만, 일부 PC 환경에서는 제어판에 등록하지 않는 문제로 사용자가 다음과 같은 절차에 따라 프로그램 삭제를 진행해야 합니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ecsmumnec"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 변종에 따라 다양한 서비스 등록 파일이 생성되며 서비스 이름은 파일명에 종속됩니다.)

(b) "C:\Windows\ecsmumnec.exe" 파일을 찾아 직접 삭제하시기 바랍니다.

 

이지클린(EasyClean)은 과거 국내에서 제작된 시스템 최적화 프로그램과 동일하여 프로그램이 설치된 사용자의 눈을 속이고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

"Windows MouseUtil" 변종 프로그램(mustonvntm.exe) 정보

 

파일 경로

 C:\Program Files\MouseUtil\340.dll

MD5

 BD1B7284B1A7F7147A7ADD997E866272

진단명

 a variant of Win32/Adware.Kraddare.GC (ESET)

디지털 서명

 God of Advertising Co.,Ltd

비고

 실행 모듈

 

파일 경로

 C:\Program Files\MouseUtil\mouseutil.exe

MD5

 98EC64B663BFDCF09E12AE538FA54B6D

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 INSAFE

파일 설명

 mouseutil.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSEU

비고

 시작 프로그램(MOUSEU) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\MouseUtil\mouseutils.exe

MD5

 EB54F9B1FB4C60EBFEA865B07168C5CC

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

파일 설명

 mouseutils.exe

비고

 예약 작업(C:\Windows\Tasks\mustonvnts.job) 등록 파일

 

파일 경로

 C:\Windows\mustonvntm.exe

MD5

 527E37C59C5CA1A4FA0C9ED138DE5F96

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

파일 설명

 mustonvntm.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mustonvntm

비고

 서비스(mustonvntm) 등록 파일

 

INSAFE 디지털 서명이 포함된 "Windows MouseUtil" 광고 프로그램은 "C:\Program Files\MouseUtil" 폴더와 Windows 폴더에 파일을 각각 생성하며, 다음과 같은 자동 실행 등록값을 통해 시스템 시작시 자동 실행되도록 구성되어 있습니다.

  • 서비스(mustonvntm) : C:\Windows\mustonvntm.exe
  • 예약 작업(mustonvnts.job) : C:\Program Files\MouseUtil\mouseutils.exe

특히 서비스 항목에 등록되는 Windows 폴더 내에 생성되는 서비스 파일은 프로그램 업데이트 기능을 통해 특정 서버에서 mouseutilm.exe 파일을 다운로드하여 변종에 따라 다양한 서비스 이름과 파일명으로 설치됩니다.

 

이를 통해 시스템 시작시 업데이트 기능을 통한 프로그램 체크 및 특정 시점에서는 업데이트 창 생성을 통해 추가적인 추천(제휴) 프로그램 설치를 유도하여 유사한 기능을 가진 다양한 광고 프로그램과 광고 배포 목적의 프로그램을 다수 설치할 수 있으므로 주의하시기 바랍니다.

 

설치된 프로그램은 광고 기능을 수행하는 mouseutil.exe 프로세스를 메모리에 상주시켜 Internet Explorer 웹 브라우저 실행시 추가적인 광고 모듈을 로딩하여 인터넷 검색 및 웹 사이트 접속시 광고창을 생성하거나 인터넷 쇼핑몰 바로가기 아이콘을 생성할 수 있을 것으로 보입니다.

 

프로그램 삭제는 기본적으로 제어판에 등록된 "Windows MouseUtil" 삭제 항목을 이용하여 삭제하거나 "C:\Program Files\MouseUtil\mouseutil_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행할 수 있습니다.

 

만약 수동으로 프로그램 삭제가 필요한 경우에는 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mustonvntm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 해당 명령어 변수는 Windows 폴더 내에 다양한 파일명으로 생성되는 서비스 파일명에 종속됩니다.)

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 mouseutil.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\MouseUtil
  • C:\Windows\mustonvntm.exe
  • C:\Windows\Tasks\mustonvnts.job

(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 영역에 등록된 "MOUSEU" 문자열을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSEU

"Windows MouseUtil" 광고 프로그램은 가상 환경 및 분석 도구가 설치된 PC 환경에서는 프로그램 설치 및 광고 기능을 하지 않도록 제작되어 있으므로 "국내 광고 프로그램 설치 및 동작 방해하는 방법" 게시글을 참고하여 설치되지 않도록 예방하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..