인터넷 쇼핑몰 바로가기 아이콘 생성 또는 웹 브라우저 아이콘에 마우스를 위치할 경우 광고 팝업창을 생성할 것으로 추정되는 국내에서 제작된 "Windows Frame Related" 광고 프로그램<SHA-1 : f6cc8d84a1b98ccdf3459c8e4c7423a20bc8d072 - BitDefender : Gen:Variant.Adware.Graftor.175958>의 변종 정보가 확인되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존에 "C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related" 폴더에 설치한 적이 있으며, 유사한 기능을 가진 TargetService, Viewcon 광고 프로그램의 변종으로 추정됩니다.
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe.exe |
|
SHA-1 |
c0cadacebdc2dec73686579edcd5be453050387b |
|
진단명 |
Adware.Agent.390032[h] (Hauri ViRobot) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - RFRAME = "C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe.exe" /run |
|
비고 |
시작 프로그램(RFRAME) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe_unin.exe |
|
SHA-1 |
8e3d39ad2a8ef159a389263c6aa728373fabcd62 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
INSAFE |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframes.exe |
|
SHA-1 |
d730a7b203a1baa3909dab05e7b5ae09d8ef7b09 |
|
진단명 |
ADWARE/Adware.Gen7 (Avira) |
|
디지털 서명 |
INSAFE |
|
비고 |
예약 작업(rfstqowvqs) 등록 파일 |
|
파일 경로 |
C:\Windows\rfstqowvqm.exe |
|
SHA-1 |
2adb2aa2a831531e35b97be4ea10ce2afed62b07 |
|
진단명 |
Adware.Kraddare.FF (ALYac) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rfstqowvqm |
|
비고 |
서비스(rfstqowvqm) 등록 파일 |
INSAFE 디지털 서명이 포함된 "Windows Frame Related" 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame" 폴더와 Windows 폴더 내에 파일을 생성하며, 시스템 시작시 다음과 같은 자동 실행값을 통해 프로그램을 자동 실행하도록 구성되어 있습니다.
- 서비스(rfstqowvqm) : "C:\Windows\rfstqowvqm.exe" /srv
- 시작 프로그램(RFRAME) : "C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe.exe" /run
- 예약 작업(rfstqowvqs) : C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframes.exe /sch
자동 실행된 파일들은 가상 환경 및 특정 분석 도구 설치 여부를 체크하여 실행 여부가 결정되며, 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 relatedframe.exe 파일을 메모리에 상주시킵니다.
이를 통해 바탕 화면 등에 바로가기 아이콘 추가 또는 Internet Explorer 웹 브라우저와 같은 특정 바로가기 아이콘에 마우스를 위치할 경우 다양한 광고 팝업창을 생성할 수 있을 것으로 추정됩니다.
■ "Windows Frame Related" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 등록된 "Windows Frame Related" 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 표시되지 않는 경우에는 "C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행하시기 바랍니다.
추가적으로 사용자의 필요에 따라 수동으로 프로그램 제거를 원하는 경우에는 다음의 절차에 참고하여 삭제하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rfstqowvqm"] 명령어를 입력하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 relatedframe.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame
- C:\Windows\rfstqowvqm.exe
- C:\Windows\System32\Tasks\rfstqowvqs
- C:\Windows\Tasks\rfstqowvqs.job
(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램(Run)에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- RFRAME = "C:\Users\(사용자 계정)\AppData\Roaming\RelatedFrame\relatedframe.exe" /run
불필요한 프로그램(PUP)의 경우 국내 무료 백신에서는 진단 정책 문제로 인하여 대응을 하지 못하는 것이 사실이므로 40여종 이상의 다중 백신 엔진을 이용하여 파일 실행시 악성 여부를 판단하여 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하시면 광고 프로그램으로부터 고생하지 않으므로 잘 활용하시기 바랍니다.