인터넷 검색 및 웹 사이트 접속시 다양한 광고창 또는 바로가기 아이콘을 생성할 것으로 추정되는 국내에서 제작된 TargetService 광고 프로그램<SHA-1 : 2599c29ebe0e01e65c9407371e0d21e133c91edf - ESET : a variant of Win32/AdWare.Kraddare.IL>의 변종 정보가 확인되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 2014년 하반기경부터 발견되고 있으며, 변종에 따라 "C:\Program Files\WindowTargetService" 폴더에 프로그램을 설치할 수 있습니다.
|
파일 경로 |
C:\Program Files\TargetService\targetservice.exe |
|
SHA-1 |
f0a01049a5bb292bdd03d6c7b05ecce31e1f88c2 |
|
진단명 |
PUP/Win32.KorAd.C931384 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run |
|
비고 |
시작 프로그램(TGSERV) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files\TargetService\targetservice_unin.exe |
|
SHA-1 |
cb27f39b84ab3602d66fa4f98ee9f45fb7c3bda5 |
|
진단명 |
Generic.4C0 (AVG) |
|
디지털 서명 |
INSAFE |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\Program Files\TargetService\targetservices.exe |
|
SHA-1 |
af19956d53a6468d875a1af3e20584765b940a03 |
|
진단명 |
Gen:Variant.Adware.Graftor.175958 (BitDefender) |
|
디지털 서명 |
INSAFE |
|
비고 |
예약 작업(tsstqowvqs) 등록 파일 |
|
파일 경로 |
C:\Windows\tsstqowvqm.exe |
|
SHA-1 |
8f64bf352f5b4639f80dcb408dba049d3fe22219 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tsstqowvqm |
|
비고 |
서비스(tsstqowvqm) 등록 파일 |
|
파일 경로 |
C:\Windows\System32\drivers\targetservice.sys |
|
SHA-1 |
3df7031d1cfbf72262366f8ebbfdcc1900e3ed36 |
|
진단명 |
Trojan.Adkor.66 (Dr.Web) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\targetservice |
|
비고 |
드라이버(targetservice) 등록 파일 |
INSAFE 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\TargetService" 폴더와 Windows 폴더 내에 파일을 생성하며, 시스템 시작시 다음과 같은 실행값을 통해 자동 실행되도록 구성되어 있습니다.
- 서비스(tsstqowvqm) : "C:\Windows\tsstqowvqm.exe" /srv
- 시작 프로그램(TGSERV) : "C:\Program Files\TargetService\targetservice.exe" /run
- 예약 작업(tsstqowvqs) : C:\Program Files\TargetService\targetservices.exe /sch
자동 실행된 파일들은 가상 환경 및 특정 분석 도구 여부를 체크하여 실행 여부가 결정되며, 이를 통해 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 targetservice.exe 파일을 메모리에 상주시킵니다.
TargetService 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성하여 불편을 유발할 수 있으며, 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
■ TargetService 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 등록된 TargetService 삭제 항목을 이용하여 제거할 수 있으며, 제어판에 표시되지 않는 경우에는 "C:\Program Files\TargetService\targetservice_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행할 수 있습니다.
만약 프로그램 삭제 기능을 통해 제거할 수 없는 경우에는 다음의 절차를 참고하여 삭제하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 입력하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.
- sc delete "tsstqowvqm"
- sc delete "targetservice"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 targetservice.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\TargetService
- C:\Windows\System32\drivers\targetservice.sys
- C:\Windows\System32\Tasks\tsstqowvqs
- C:\Windows\Tasks\tsstqowvqs.job
- C:\Windows\tsstqowvqm.exe
(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 영역에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run
불필요한 프로그램(PUP)의 경우에는 백신 진단 정책에 따라 진단되지 않는 경우가 존재하므로 40여종의 백신 엔진을 이용하여 실행되는 파일을 악성 여부를 확인하여 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하여 보호하시길 권장합니다.