시스템 시작 후 바탕 화면에 "업데이트 안내" 설치창을 생성하여 다수의 광고 프로그램 설치를 유도할 수 있는 국내에서 제작된 EasyClean 제휴(스폰서) 배포 프로그램의 변종 정보가 수집되어 공개해 드립니다.
해당 프로그램은 변종에 따라 서비스 이름 및 파일명이 다양하게 생성될 수 있으므로 참고하시기 바라며, 설치 과정을 살펴보면 특정 서버에서 service.zip 압축 파일을 다운로드하여 임시 폴더에 service.exe 파일명으로 압축 해제한 후 다음과 같은 파일명으로 자가 복제하여 설치가 진행됩니다.
|
파일 경로 |
C:\Windows\ecnonsmnec.exe |
|
MD5 |
6E1A18B44FB01A31198D848617632B41 |
|
진단명 |
Trojan-Clicker/W32.Kraddare.385024 (nProtect) |
|
제품 이름 |
EasyClean |
|
파일 설명 |
ecnonsmnec.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ecnonsmnec |
|
비고 |
서비스(ecnonsmnec) 등록 파일 |
EasyClean 프로그램은 Windows 폴더에 변종에 따라 ec******ec.exe 파일 패턴으로 파일을 생성합니다.
ecnonsmnec 서비스 항목을 등록하여 시스템 시작시 "C:\windows\ecnonsmnec.exe" 파일을 자동 실행하도록 구성되어 있으며, 특정 부팅 시점에서는 광고 서버에 추가적인 정보가 포함되어 있을 경우 임시 폴더에 ZIP 압축 파일을 추가 다운로드 및 압축 해제하여 recom.exe 파일을 실행하여 다음과 같은 업데이트 창을 생성할 수 있습니다.
생성된 "업데이트 안내" 창의 특징은 사용자가 우측 상단의 닫기(X) 버튼을 클릭하여 종료하지 못하게 버튼을 비활성화 처리하였으며, 좁은 영역에 등록된 "MouseUtil, 윈프로바이더" 등의 다양한 제휴 프로그램의 체크를 해제하지 않은 상태로 확인 버튼을 클릭시 자동 설치되므로 매우 주의하시기 바랍니다.
그러므로 생성된 업데이트 창 종료를 위해서는 Windows 작업 관리자를 실행하여 recom.exe 프로세스를 찾아 종료하는 방식을 이용하시길 권장합니다.
■ EasyClean 프로그램 삭제 방법
해당 프로그램은 기본적으로 제어판에 등록된 "EasyClean" 삭제 항목을 이용하여 제거할 수 있지만, 변종에 따라서는 제어판에 표시되지 않는 경우가 지속적으로 발견되고 있습니다.
그러므로 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ecnonsmnec"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) "C:\Windows\ecnonsmnec.exe" 파일을 찾아 삭제하시기 바랍니다.
EasyClean 광고 배포용 프로그램은 항상 업데이트 창을 생성하지 않을 수 있으며, 특정 부팅 시점에서 업데이트 창을 생성하여 사용자의 부주의한 클릭을 유도하여 원치 않는 다양한 광고 프로그램을 설치할 수 있으므로 매우 주의하시기 바랍니다.