본문 바로가기

벌새::Analysis

삭제시 자동으로 재설치하는 "EpicScale Application" 비트코인 채굴 프로그램 주의 (2015.1.18)

반응형

최근 µTorrent 파일 공유 프로그램 설치시 추가될 수 있는 "EpicScale Application" 비트코인(BitCoin) 채굴 프로그램이 설치된 경우 사용자가 제어판을 통한 프로그램 삭제시 자동으로 재설치되는 문제가 발견되어 자세하게 살펴보도록 하겠습니다.

µTorrent Beta 버전을 이용하여 프로그램 설치 과정에서 제시된 "Epic Scale" 제휴 프로그램은 자선 활동을 위한 자금을 획득할 목적으로 설치를 유도하고 있으며, 설치를 원치않는 경우에는 "Skip Offer" 버튼을 클릭하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\EpicScale
C:\ProgramData\EpicScale\0
C:\ProgramData\EpicScale\0\1.32.IN.Pentium4
C:\ProgramData\EpicScale\0\1.32.IN.Pentium4\yam.dll
C:\ProgramData\EpicScale\0\3.32.IN.Sandy
C:\ProgramData\EpicScale\0\3.32.IN.Sandy\yam.dll
C:\ProgramData\EpicScale\0\50.32.AM.k8
C:\ProgramData\EpicScale\0\50.32.AM.k8\yam.dll
C:\ProgramData\EpicScale\0\52.32.AM.bdver1
C:\ProgramData\EpicScale\0\52.32.AM.bdver1\yam.dll
C:\ProgramData\EpicScale\0\7z.dll
C:\ProgramData\EpicScale\0\99.32.IN.AM.Generic
C:\ProgramData\EpicScale\0\99.32.IN.AM.Generic\yam.dll
C:\ProgramData\EpicScale\0\Client7z.dat
C:\ProgramData\EpicScale\0\EpicScale.dat
C:\ProgramData\EpicScale\0\EpicScale.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\EpicScale\0\EpicScale64.exe
C:\ProgramData\EpicScale\0\eula1.txt
C:\ProgramData\EpicScale\0\Icon.config
C:\ProgramData\EpicScale\0\Icon.ico
C:\ProgramData\EpicScale\0\mfc120u.dll
C:\ProgramData\EpicScale\0\msvcp100.dll
C:\ProgramData\EpicScale\0\msvcp120.dll
C:\ProgramData\EpicScale\0\msvcp120.dll.64
C:\ProgramData\EpicScale\0\msvcr100.dll
C:\ProgramData\EpicScale\0\msvcr100.dll.64
C:\ProgramData\EpicScale\0\msvcr120.dll
C:\ProgramData\EpicScale\0\msvcr120.dll.64
C:\ProgramData\EpicScale\0\Nova.dat
C:\ProgramData\EpicScale\0\Probe.dll
C:\ProgramData\EpicScale\0\Probe64.dll
C:\ProgramData\EpicScale\0\x64
C:\ProgramData\EpicScale\0\x64\1.IN.Haswell
C:\ProgramData\EpicScale\0\x64\1.IN.Haswell\yam.dll
C:\ProgramData\EpicScale\0\x64\2.IN.Ivy
C:\ProgramData\EpicScale\0\x64\2.IN.Ivy\yam.dll
C:\ProgramData\EpicScale\0\x64\3.IN.Sandy
C:\ProgramData\EpicScale\0\x64\3.IN.Sandy\yam.dll
C:\ProgramData\EpicScale\0\x64\4.IN.Nehalem
C:\ProgramData\EpicScale\0\x64\4.IN.Nehalem\yam.dll
C:\ProgramData\EpicScale\0\x64\5.IN.Core2
C:\ProgramData\EpicScale\0\x64\5.IN.Core2\yam.dll
C:\ProgramData\EpicScale\0\x64\50.AM.bdver2
C:\ProgramData\EpicScale\0\x64\50.AM.bdver2\yam.dll
C:\ProgramData\EpicScale\0\x64\51.AM.btver2
C:\ProgramData\EpicScale\0\x64\51.AM.btver2\yam.dll
C:\ProgramData\EpicScale\0\x64\52.AM.bdver1
C:\ProgramData\EpicScale\0\x64\52.AM.bdver1\yam.dll
C:\ProgramData\EpicScale\0\x64\53.AM.barcelona
C:\ProgramData\EpicScale\0\x64\53.AM.barcelona\yam.dll
C:\ProgramData\EpicScale\0\x64\99.IN.AM.Generic
C:\ProgramData\EpicScale\0\x64\99.IN.AM.Generic\yam.dll
C:\ProgramData\EpicScale\0\x64\EpicScale64.exe
C:\ProgramData\EpicScale\0\x64\msvcp120.dll
C:\ProgramData\EpicScale\0\x64\msvcr100.dll
C:\ProgramData\EpicScale\0\x64\msvcr120.dll
C:\ProgramData\EpicScale\0\x64\Probe64.dll
C:\ProgramData\EpicScale\0\yam.dll
C:\ProgramData\EpicScale\0\YamFolders32.6.7z
C:\ProgramData\EpicScale\0\YamFolders64.6.7z
C:\ProgramData\EpicScale\18508.dat
C:\ProgramData\EpicScale\32834.dat
C:\ProgramData\EpicScale\EpicScale.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\offer-BCAD9609-FEFF-4798-9A9D-11008C66DA2E.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\offer-BCAD9609-FEFF-4798-9A9D-11008C66DA2E.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\EPIC_SCALE.lnk

 

[생성 파일 진단 정보]

 

C:\ProgramData\EpicScale\0\1.32.IN.Pentium4\yam.dll
 - SHA-1 : 17cb332ccf1206ae049d9514443eb2ccf7b717e3
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\0\3.32.IN.Sandy\yam.dll
 - SHA-1 : 8e39135ac26e9269e5d6093911b07a3171094e25
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\0\50.32.AM.k8\yam.dll
 - SHA-1 : 82615276f27031b7ddb94e371f1ddab7262dfe92
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\0\52.32.AM.bdver1\yam.dll
 - SHA-1 : 17c6cc95b85121822eabb86b09d5860a344b998f
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\0\99.32.IN.AM.Generic\yam.dll
 - SHA-1 : 35217f54a2512325e31850b319cad2a0bec94783
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\0\EpicScale.dat
 - SHA-1 : 45bda9173ce85af54a60d1ea560de3cc3fb5ec5a
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\EpicScale.exe
 - SHA-1 : 67792c3fa982904097d78bcec7eb22809711e7a6
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\EpicScale64.exe
 - SHA-1 : fc17d98c44e1f6bda655a882b26785cedcdd758e
 - ESET : Win64/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\Nova.dat
 - SHA-1 : b39e1e49116ee1e2f137f2adf111271bb7549ef3
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\Probe.dll
 - SHA-1 : 6b0d7499a7890924d83e5eb41a925c62a35f06d0
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\Probe64.dll
 - SHA-1 : 4a39cc00e3a812b26e7e2d03acdc41edf67f51de
 - ESET : Win64/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\1.IN.Haswell\yam.dll
 - SHA-1 : 7b13570cfa2e1e41f3081362f89ba6bb779096cd
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\2.IN.Ivy\yam.dll
 - SHA-1 : 54d3f1a36fe5bf10eab425ed6a50e704a22d914b
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\3.IN.Sandy\yam.dll
 - SHA-1 : 55618142c6d40871ff9c63e2a78131168dd9b82e
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\4.IN.Nehalem\yam.dll
 - SHA-1 : d521dd6f7cd18a0967ad0aa3fef3ad99bb3abfc3
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\5.IN.Core2\yam.dll
 - SHA-1 : 98ea231c08ef90dbece07d084a90f178cc98acf7
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\50.AM.bdver2\yam.dll
 - SHA-1 : fedb7ef6ffb064ba32a6c2af8f3d783258cbb8da
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\51.AM.btver2\yam.dll
 - SHA-1 : 00e0f543c26d57e0ca75d720a18f6dcbba65d256
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\52.AM.bdver1\yam.dll
 - SHA-1 : 86c771aa7e5ebb78a5a05a55061147621cd063a2
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\53.AM.barcelona\yam.dll
 - SHA-1 : 16aeb9ee8b593350c79e5296175ca6091dee4194
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\99.IN.AM.Generic\yam.dll
 - SHA-1 : efad9b3582d9cf89d89dface6d1006ea7fef2172
 - ESET : a variant of Win64/BitCoinMiner.AN (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\EpicScale64.exe
 - SHA-1 : fc17d98c44e1f6bda655a882b26785cedcdd758e
 - ESET : Win64/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\x64\Probe64.dll
 - SHA-1 : 4a39cc00e3a812b26e7e2d03acdc41edf67f51de
 - ESET : Win64/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\0\yam.dll
 - SHA-1 : 35217f54a2512325e31850b319cad2a0bec94783
 - ESET : Win32/BitCoinMiner.CP (VT : 1/57)

 

C:\ProgramData\EpicScale\18508.dat
 - SHA-1 : 07f522959e84a70ea884d86042aee5547a66572c
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\32834.dat
 - SHA-1 : b39e1e49116ee1e2f137f2adf111271bb7549ef3
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\ProgramData\EpicScale\EpicScale.exe
 - SHA-1 : 9747075fcd76d3b7f9fb6416705a844e6f9deba1
 - ESET : Win32/EpicScale.A (VT : 1/57)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\offer-BCAD9609-FEFF-4798-9A9D-11008C66DA2E.exe
 - SHA-1 : 9747075fcd76d3b7f9fb6416705a844e6f9deba1
 - ESET : Win32/EpicScale.A (VT : 1/57)

"Epic Scale, Inc." 디지털 서명이 포함된 "EpicScale Application" 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\EpicScale" 폴더에 파일을 생성하며, 32비트(x86)와 64비트(x64) 환경에서 각각 동작하도록 제작되어 있습니다.

"EpicScale Application" 프로그램이 설치된 환경에서는 시스템 트레이 알림 아이콘 영역에 E 아이콘이 추가되며 "Show Application" 메뉴를 실행하면 다음과 같은 정보를 확인할 수 있습니다.

생성된 "EpicScale Compute" 창에서는 기본적으로 시스템 시작시 자동으로 실행되도록 구성되어 있으며, 추가 옵션을 통해 "Screen Saver Only" 항목을 통해 화면 보호기가 동작할 때에만 실행되도록 변경할 수 있습니다.

 

프로그램의 내용을 읽어보면 "Epic Scale Network"와의 통신을 통해 컴퓨터가 유효 상태일 때 자선 기금 모금을 위한 가상 화폐 채굴을 하는 기능이 포함되어 있음을 알 수 있습니다.

실제로 Windows 시작시 "C:\ProgramData\EpicScale\0\EpicScale.exe EpicScale StartMinimized" 파일을 자동 실행하여 프로그램이 동작하며, 특정 서버에서 가상 화폐 채굴을 위한 세팅값을 가져와 1분 10초 간격으로 통신을 시도합니다.

 

특히 32비트용 CPU 구성 파일(YamFolders32.6.7z)과 64비트 CPU 구성 파일(YamFolders64.6.7z)이 포함된 압축 파일을 추가 다운로드 및 압축 해제하여 각각의 폴더 내에 "JProof LLC" 디지털 서명이 포함된 yam.dll 파일을 생성하여 동작합니다.

이로 인하여 메모리에 상주하는 EpicScale.exe 프로세스는 CPU 연산으로 인해 20%~35% 수준을 지속적으로 유지하여 PC 사용자 입장에서는 전기세 상승 부작용이 있을 수 있습니다.

 

"EpicScale Application" 프로그램 삭제 방법

 

"EpicScale Application" 프로그램은 기본적으로 제어판의 삭제 목록에 등록되어 사용자가 프로그램 삭제를 할 수 있도록 지원하고 있습니다.

"C:\ProgramData\EpicScale\0\EpicScale.exe" EpicScale DoUninstall

그러므로 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "EpicScale Application" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있으며, 이 과정에서 EpicScale.exe 프로세스 실행 상태에 따라 2가지 방식으로 동작합니다.

 

(1) EpicScale.exe 프로세스 동작 중 삭제시

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - EpicScale = C:\ProgramData\EpicScale\0\EpicScale.exe EpicScale StartMinimized

사용자가 "EpicScale Application" 프로그램 삭제시 메모리에 상주하는 EpicScale.exe 프로세스를 종료하지 않은 상태에서 삭제시에는 파일 삭제는 이루어지지 않으며 EpicScale 시작 프로그램 레지스트리 값을 삭제하여 재부팅시부터 프로그램 실행이 이루어지지 않도록 합니다.

 

그러므로 제어판을 통한 프로그램 삭제 후에는 추가적으로 "C:\ProgramData\EpicScale" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

(2) EpicScale.exe 프로세스 종료 후 삭제시

 

"EpicScale Application" 프로그램 설치로 인해 CPU가 상승하는 문제로 인해 사용자가 EpicScale.exe 프로세스를 종료한 후 프로그램 삭제를 진행할 경우를 가정해 보겠습니다.

해당 프로그램은 3개의 EpicScale.exe 프로세스가 메모리에 상주하며 CPU 상승을 유발하는 EpicScale.exe 프로세스를 사용자가 강제로 종료할 경우 자체 보호 기능을 통해 종료되지 않습니다.

 

그러므로 Windows 작업 관리자를 실행하여 CPU 상승이 없는 EpicScale.exe 프로세스를 선택하여 "프로세스 트리 끝내기" 메뉴를 통해 프로세스 종료를 성공할 수 있습니다.

문제는 EpicScale.exe 프로세스를 종료한 상태에서 제어판에서 "EpicScale Application" 프로그램 삭제를 진행할 경우 현재 설치된 폴더(파일) "C:\ProgramData\EpicScale\0"를 삭제함과 동시에 특정 서버에서 설치 파일<SHA-1 : 1d3fb0497fd6488ef3552cd69cc0b21b906b4bc8 - ESET : Win32/EpicScale.A (VT : 1/57)>을 재다운로드하여 자동으로 재설치하는 동작을 확인할 수 있습니다.

  • 1차 삭제 : C:\ProgramData\EpicScale\0 → C:\ProgramData\EpicScale\1
  • 2차 삭제 : C:\ProgramData\EpicScale\1 → C:\ProgramData\EpicScale\2
  • 3차 삭제 : C:\ProgramData\EpicScale\2 → C:\ProgramData\EpicScale\3

위와 같은 폴더 생성 패턴을 통해 사용자가 "EpicScale Application" 프로그램 삭제시 EpicScale.exe 프로세스를 강제 종료한 상태에서는 자동으로 재설치 동작이 있으므로 프로세스를 종료하지 않도록 주의하시기 바랍니다.

 

특히 재설치 과정에서 폴더(파일) 및 시작 프로그램 등록값도 수정하여 시스템 부팅시 자동으로 프로그램이 실행되도록 유지됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\EpicScale
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - EpicScale = C:\ProgramData\EpicScale\0\EpicScale.exe EpicScale StartMinimized
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
EpicScaleApp

 

"EpicScale Application" 비트코인(BitCoin) 채굴 프로그램이 설치된 환경에서는 지속적으로 CPU 상승으로 인한 전기 사용량 증가를 유발하며, 프로그램 삭제시에도 깨끗하게 삭제되지 않는 문제가 존재하므로 설치되지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형