인터넷 검색 및 웹 사이트 접속시 광고창을 생성할 수 있으며, 업데이트 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows RCProvider" 광고 프로그램의 변종이 확인되어 살펴보도록 하겠습니다.
해당 프로그램은 변종에 따라 서비스 및 예약 작업 등록 파일이 다양한 이름으로 등록되며, 설치 파일<SHA-1 : 9bce2861324261c7a4ef427a7699d5d5c6e1fe22 - BitDefender : Gen:Variant.Adware.Graftor.175958 (VT : 27/55)>을 통해 프로그램 설치 과정에서 가상 환경 및 특정 분석 도구를 체크하여 설치 및 실행 여부를 결정하도록 제작되어 있습니다.
|
파일 경로 |
C:\Program Files\Windows Rcp\config_adwa.dll |
|
SHA-1 |
94fa563766eb8df7d02fda0249087a15ee9c8b9b |
|
진단명 |
PUP/Win32.SubShop.C290653 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
비고 |
실행 모듈, config_filejil.dll 또는 config_theappl.dll 파일명으로 생성 가능 |
|
파일 경로 |
C:\Program Files\Windows Rcp\config_fileidc_new.dll |
|
SHA-1 |
da4af15c8f84fe63a81798cba6c720f53876ae64 |
|
진단명 |
PUP/Win32.KeywordPop.R105897 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files\Windows Rcp\easyclean.dll |
|
SHA-1 |
dc399d62db1980dfa64b410d7bda0972290212ab |
|
진단명 |
Win32:PUP-gen [PUP] (avast!) |
|
디지털 서명 |
미디어클릭 |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files\Windows Rcp\rclick.dll |
|
SHA-1 |
47f7493f7357db2d8ead09f40448b1c615af5220 |
|
진단명 |
not-a-virus:AdWare.Win32.Kraddare.yi (Kaspersky) |
|
디지털 서명 |
INSAFE |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files\Windows Rcp\rcprovider.exe |
|
SHA-1 |
4862861840bb187c837bfc151865c1baa437c365 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files\Windows Rcp\rcprovider_unin.exe |
|
SHA-1 |
60e3f29df1c29b34a6cf2d4daa670fb1f17afb1d |
|
진단명 |
Generic.7AD (AVG) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\Program Files\Windows Rcp\rcproviders.exe |
|
SHA-1 |
a9b2f99ccd53fbfb05a89e9e7b1e33c247c1fb64 |
|
진단명 |
Trojan-Downloader.Win32.Genome.rxoq (Kaspersky) |
|
비고 |
예약 작업(C:\Windows\Tasks\rcppcrpnvups.job) 등록 파일 |
|
파일 경로 |
C:\Windows\rcppcrpnvupm.exe |
|
SHA-1 |
6d9980d6c07391feda17f445e5db1016e493b6e0 |
|
진단명 |
Adware.Agent.408576.A[h] (Hauri ViRobot) |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcppcrpnvupm |
|
비고 |
서비스(rcppcrpnvupm) 등록 파일 |
|
파일 경로 |
C:\Windows\System32\drivers\rcprovider.sys |
|
SHA-1 |
b409f26be26f012b9adda184ff635cd590f5ad17 |
|
진단명 |
Generic.EE7 (AVG) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcprovider |
|
비고 |
드라이버(rcprovider) 등록 파일 |
Donkey CORP., INSAFE, 미디어클릭 디지털 서명이 사용될 수 있는 "Windows RCProvider" 광고 프로그램은 "C:\Program Files\Windows Rcp" 폴더와 Windows 폴더 내에 파일을 생성합니다.
- 서비스(rcppcrpnvupm) : "C:\Windows\rcppcrpnvupm.exe" /srv
- 예약 작업(rcppcrpnvups) : C:\Program Files\Windows Rcp\rcproviders.exe /sch
해당 광고 프로그램은 서비스, 예약 작업 영역에 등록된 자동 실행값을 통해 시스템 시작시 자동 실행되어 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 rcprovider.exe 파일을 메모리에 상주시킵니다.
이 과정에서 추가적인 제휴 프로그램 정보가 등록되어 있을 경우 업데이트 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으며, 사용자가 웹 브라우저를 통해 인터넷 활동 중 추가적인 광고 모듈(config_adwa.dll, config_fileidc_new.dll, config_filejil.dll, config_theappl.dll, easyclean.dll, rclick.dll) 로딩을 통해 광고창 생성 등의 행위를 수행할 수 있습니다.
■ "Windows RCProvider" 광고 프로그램 삭제 방법
기본적으로 프로그램 삭제는 제어판에 등록된 "Windows RCProvider" 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 등록되어 있지 않는 경우에는 "C:\Program Files\Windows Rcp\rcprovider_unin.exe" 파일을 찾아 직접 실행하여 프로그램 제거를 진행하시기 바랍니다.
만약 수동으로 프로그램 삭제를 할 필요가 있는 경우에는 다음의 절차를 참고하여 제거를 진행하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 입력 및 실행하여 서비스 및 드라이버 등록 레지스트리 값을 자동 삭제하시기 바랍니다.(※ "rcppcrpnvupm" 명령어는 서비스 등록 파일명에 따라 달라질 수 있습니다.)
- sc delete "rcppcrpnvupm"
- sc delete "rcprovider"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 rcprovider.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\Windows Rcp
- C:\Windows\rcppcrpnvupm.exe
- C:\Windows\System32\drivers\rcprovider.sys
- C:\Windows\System32\Tasks\rcppcrpnvups
- C:\Windows\Tasks\rcppcrpnvups.job
"Windows RCProvider" 프로그램은 프로그램 이름으로는 광고 프로그램인지 쉽게 인지하기 어려우므로 원치않게 설치되어 불편을 유발하는 광고 행위로 고생하지 않도록 주의하시기 바랍니다.