인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성하며, 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows RCProvider" 광고 프로그램<SHA-1 : 9bce2861324261c7a4ef427a7699d5d5c6e1fe22 - Hauri ViRobot : Adware.Agent.385952 [h] (VT : 33/56)>의 변종이 확인되어 살펴보도록 하겠습니다.

"Windows RCProvider" 광고 프로그램은 변종에 따라 서비스 및 예약 작업 등록 파일이 다양한 이름으로 설치될 수 있으며, 프로그램 설치 및 동작 과정에서 가상 환경과 특정 분석 도구를 체크하여 동작하지 않도록 분석을 방해하도록 제작되어 있습니다.

 

파일 경로

 C:\Program Files\Windows Rcp\config_adwa.dll

SHA-1

 94fa563766eb8df7d02fda0249087a15ee9c8b9b

진단명

 Trojan-Clicker/W32.Kraddare.2075176 (nProtect)

디지털 서명

 INSAFE

비고

 config_filejil.dll 또는 config_theappl.dll 파일명으로 생성 가능

 

파일 경로

 C:\Program Files\Windows Rcp\config_fileidc_new.dll

SHA-1

 da4af15c8f84fe63a81798cba6c720f53876ae64

진단명

 PUP/Win32.KeywordPop.R105897 (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

 

파일 경로

 C:\Program Files\Windows Rcp\easyclean.dll

SHA-1

 dc399d62db1980dfa64b410d7bda0972290212ab

진단명

 PUP/Win32.Toolbar.C424641 (AhnLab V3 365 Clinic)

디지털 서명

 미디어클릭

 

파일 경로

 C:\Program Files\Windows Rcp\MWManagerM.dll

SHA-1

 77e29207aaffefc8abbdc68e6d44fe4441d52058

진단명

 PUP/Win32.MWManager.R101601 (AhnLab V3 365 Clinic)

디지털 서명

 The A MEDIA

 

파일 경로

 C:\Program Files\Windows Rcp\rclick.dll

SHA-1

 47f7493f7357db2d8ead09f40448b1c615af5220

진단명

 Gen:Variant.Adware.Symmi.36013 (BitDefender)

디지털 서명

 INSAFE

 

파일 경로

 C:\Program Files\Windows Rcp\rcprovider.exe

SHA-1

 4862861840bb187c837bfc151865c1baa437c365

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 Donkey CORP.

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Windows Rcp\rcprovider_unin.exe

SHA-1

 60e3f29df1c29b34a6cf2d4daa670fb1f17afb1d

진단명

 ADWARE/Kraddare.353696 (Avira)

디지털 서명

 Donkey CORP.

비고

 프로그램 삭제 파일

 

파일 경로

 C:\Program Files\Windows Rcp\rcproviders.exe

SHA-1

 571d1ff596fb6339da3e8809f12c341a858d8bba

진단명

 Gen:Variant.Adware.Graftor.175958 (BitDefender)

디지털 서명

 Donkey CORP.

비고

 예약 작업(rcppcrnmqmps) 등록 파일

 

파일 경로

 C:\Windows\rcppcrnmqmpm.exe

SHA-1

 d77298464299cde8d6f0a153dcf3d3903046fedb

진단명

 PUP/Win32.IntClient.C408872 (AhnLab V3 365 Clinic)

디지털 서명

 Donkey CORP.

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcppcrnmqmpm

비고

 서비스(rcppcrnmqmpm) 등록 파일

 

파일 경로

 C:\Windows\System32\drivers\rcprovider.sys

SHA-1

 b409f26be26f012b9adda184ff635cd590f5ad17

진단명

 Generic.EE7 (AVG)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcprovider

비고

 드라이버(rcprovider) 등록 파일

"Donkey CORP. / INSAFE / The A MEDIA / 미디어클릭" 4종의 디지털 서명이 포함된 "Windows RCProvider" 광고 프로그램은 "C:\Program Files\Windows Rcp" 폴더와 Windows 폴더 내에 파일을 생성합니다.

  • 서비스(rcppcrnmqmpm) : "C:\Windows\rcppcrnmqmpm.exe" /srv
  • 예약 작업(rcppcrnmqmps) : C:\Program Files\Windows Rcp\rcproviders.exe /sch

해당 광고 프로그램은 시스템 시작시 서비스 및 예약 작업 영역에 등록된 자동 실행값을 통해 파일을 자동 실행하여 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 rcprovider.exe 파일과 광고 모듈을 메모리에 상주시킵니다.

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Local\Temp\rcproviderup.exe

SHA-1

 15fe0333492da39037f6729c61909c185c5e206b

진단명

 PUP/Win32.Kraddare.R164425 (AhnLab V3 365 Clinic)

디지털 서명

 Donkey CORP.

 

특히 서버에 추가적인 프로그램 업데이트가 포함되어 있을 경우 rcproviderup.exe 업데이트 파일을 임시 폴더에 추가 다운로드하여 업데이트 창 생성을 통한 프로그램 업데이트 및 다양한 광고 프로그램 설치를 유도할 수 있으므로 매우 주의하시기 바랍니다.

 

"Windows RCProvider" 광고 프로그램이 설치된 환경에서 사용자가 인터넷 검색, 웹 사이트 접속, 웹 브라우저 종료 등의 동작시 다양한 광고창 생성을 통해 불편을 유발할 수 있습니다.

 

"Windows RCProvider" 광고 프로그램 삭제 방법

기본적으로 해당 광고 프로그램의 삭제는 제어판에 등록된 "Windows RCProvider" 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 표시되지 않는 경우에는 "C:\Program Files\Windows Rcp\rcprovider_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.

 

참고로 사용자의 필요에 따라 수동으로 삭제가 필요한 경우에는 다음의 절차를 참고하여 프로그램 제거를 진행하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 입력 및 실행하여 서비스 및 드라이버 등록 레지스트리 값을 자동 삭제하시기 바랍니다.(rcppcrnmqmpm 명령어는 서비스 등록 파일명에 따라 변경될 수 있습니다.)

  • sc delete "rcppcrnmqmpm"
  • sc delete "rcprovider"

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 rcprovider.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Windows Rcp
  • C:\Windows\rcppcrnmqmpm.exe
  • C:\Windows\System32\drivers\rcprovider.sys
  • C:\Windows\System32\Tasks\rcppcrnmqmps
  • C:\Windows\Tasks\rcppcrnmqmps.job

"Windows RCProvider" 프로그램 이름으로는 광고 프로그램으로 판단하기 매우 어려우며, 광고 프로그램 설치로 인해 원치않는 광고창 생성 및 추가적인 제휴 프로그램 설치로 연결될 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..