마우스(Mouse) 우클릭 방지 기능을 해제할 수 있는 기능을 제공하면서 필수적으로 포함된 광고 기능을 통해 광고창을 생성할 수 있는 국내에서 제작된 "GeniusMouse for Win32" 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.
해당 광고 프로그램은 변종에 따라 "C:\GeniusMouse" 또는 "C:\Users\(사용자 계정)\AppData\Roaming\GeniusMouse" 폴더에 파일을 생성할 수 있으며, 일부 파일명이 변경될 수 있습니다.
설치 과정을 살펴보면 임시 폴더에 설치 파일<SHA-1 : e2e76f3652a3e6fd385f68f030afa93fed8ca96f - Avira : ADWARE/Adware.Gen7 (VT : 15/55)>을 다운로드하여 실행시 가상 환경 및 특정 분석 도구를 체크하여 실행 여부를 결정합니다.
그러므로 특정 환경에서만 설치되는 광고 및 악성코드 감염을 사전에 예방할 수도 있으므로 참고하시기 바랍니다.
|
파일 경로 |
C:\GeniusMouse\342.dll |
|
MD5 |
13a66a9adff6c7d12ecbea1d93c7f075 |
|
진단명 |
PUP/Win32.KorAd.R133384 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
God of Advertising Co.,Ltd |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\GeniusMouse\filepds.dll |
|
MD5 |
4ab29825c5b879daca0074ac2754794b |
|
진단명 |
Adware.Kraddare.295936 (알약(ALYac)) |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\GeniusMouse\geniusm.exe |
|
MD5 |
35331b4d52be3f747350a4d80628f3c8 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\GeniusMouse\geniusmouse.exe |
|
MD5 |
ba8e1ecdeecf01594e21af450f8748d7 |
|
진단명 |
PUP/Win32.Helper.R150834 (AhnLab V3 365 Clinic) |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
|
비고 |
시작 프로그램(GMOUSE) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\GeniusMouse\geniusmouses.exe |
|
MD5 |
9be7eb48d28e2ce19a3cf2a005111a7d |
|
진단명 |
HEUR:Trojan-Downloader.Win32.Generic (Kaspersky) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
예약 작업(C:\Windows\Tasks\gmmgqowvqs.job) 등록 파일 |
|
파일 경로 |
C:\GeniusMouse\geniusp.exe |
|
MD5 |
314bc93770e900df580273363f8c769d |
|
진단명 |
PUP/Win32.IntClient.C226340 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\gmmgqowvqm.exe |
|
MD5 |
38afd8c8b06ee5b8df868b3e0a3ea2a0 |
|
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
|
디지털 서명 |
Donkey CORP. |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmmgqowvqm |
|
비고 |
서비스(gmmgqowvqm) 등록 파일 |
"Donkey CORP.", "God of Advertising Co.,Ltd" 2종의 디지털 서명이 포함된 "GeniusMouse for Win32" 광고 프로그램은 "C:\GeniusMouse" 폴더와 Windows 폴더에 파일을 생성합니다.
- 서비스(gmmgqowvqm) : "C:\Windows\gmmgqowvqm.exe" /srv
- 시작 프로그램(GMOUSE) : "C:\GeniusMouse\geniusmouse.exe" /run
- 예약 작업(gmmgqowvqs) : ① C:\GeniusMouse\geniusm.exe /sch ② C:\GeniusMouse\geniusmouse.exe /sch ③ C:\GeniusMouse\geniusp.exe /sch
설치된 프로그램은 변종에 따라 다양한 이름으로 등록될 수 있는 서비스, 시작 프로그램, 예약 작업 영역에 자동 실행값을 등록하여 시스템 시작시 자동 실행되어 업데이트 및 광고 구성값을 체크한 후 geniusm.exe, geniusmouse.exe, geniusp.exe 프로세스를 메모리에 상주시킵니다.
특히 새로운 업데이트가 존재할 경우 추가적인 geniusup.exe 파일<SHA-1 : 3ddeb0d03896036c47a8c6bd1c7e5be53f190497 - Norton : Trojan.Gen.2 (VT : 10/55)> 다운로드를 통해 진행할 수 있을 것으로 추정됩니다.
외형적으로는 마우스(Mouse) 우클릭 방지 기능이 포함된 웹 페이지를 해제할 수 없는 GeniusMouse 기능을 제공하지만, 필수적으로 포함된 광고 기능을 통해 다양한 광고 모듈(342.dll, filepds.dll)을 로딩하여 인터넷 검색 및 웹 사이트 접속시 광고창 생성 등의 광고 행위를 수행할 수 있습니다.
■ "GeniusMouse for Win32" 광고 프로그램 삭제 방법
기본적으로 해당 프로그램은 제어판에 등록된 "GeniusMouse for Win32" 삭제 항목을 통해 삭제할 수 있지만 일부 설치 환경에서는 표시되지 않을 수 있는 것으로 파악됩니다.
그러므로 "C:\GeniusMouse\geniusmouse_unin.exe" 삭제 파일이 존재할 경우 직접 실행하여 프로그램 삭제를 진행하시기 바라며, 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gmmgqowvqm"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어의 변수는 서비스 파일명에 종속됩니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 geniusm.exe, geniusmouse.exe, geniusp.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\GeniusMouse
- C:\Windows\gmmgqowvqm.exe
- C:\Windows\System32\Tasks\gmmgqowvqs
- C:\Windows\Tasks\gmmgqowvqs.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- GMOUSE = "C:\GeniusMouse\geniusmouse.exe" /run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run
- GMOUSE = "C:\GeniusMouse\geniusmouse.exe" /run
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- GMOUSE = "C:\GeniusMouse\geniusmouse.exe" /run
"GeniusMouse for Win32" 광고 프로그램은 유용한 기능을 제공하는 프로그램처럼 설치를 유도하여 필수적으로 포함된 광고 기능으로 인해 불편을 유발하는 광고 기능을 수행할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.