마우스(Mouse) 우클릭 방지를 해제할 수 있는 기능을 제공하면서 인터넷 검색 및 웹 사이트 접속시 다양한 광고를 노출시킬 수 있는 국내에서 제작된 "GeniusMouse for Win32" 광고 프로그램(SHA-1 : e2e76f3652a3e6fd385f68f030afa93fed8ca96f - avast! : Win32:Adware-BRI [Adw])의 변종 정보가 수집되어 살펴보도록 하겠습니다.

해당 광고 프로그램은 변종에 따라 다양한 서비스 및 작업 스케줄러 값을 등록할 수 있으며, "C:\GeniusMouse" 또는 "C:\Users\(사용자 계정)\AppData\Local\GeniusMouse" 또는 "C:\Users\(사용자 계정)\AppData\Roaming\GeniusMouse" 폴더에 파일을 생성할 수 있습니다.

 

파일 경로

 C:\GeniusMouse\342.dll

SHA-1

 767d2d5677b249569e7d23d281afa63829b61a36

진단명

 PUP/Win32.KorAd.R133384 (AhnLab V3 365 Clinic)

디지털 서명

 God of Advertising Co.,Ltd

 

파일 경로

 C:\GeniusMouse\filepds.dll

SHA-1

 121768e53ac24f501f5ebdb350bd81090956e2a0

진단명

 Adware.Kraddare.295936 (ALYac)

 

파일 경로

 C:\GeniusMouse\geniusm.exe

SHA-1

 55bb307ecaae5e9813e3c76b559352015caef26f

진단명

 Adware.Agent.415656[h] (Hauri ViRobot)

디지털 서명

 Donkey CORP.

비고

 메모리 상주 프로세스

 

파일 경로

 C:\GeniusMouse\geniusmouse.exe

SHA-1

 2467f4af01cc4ee5be93e23983b3eee29cb13933

진단명

 Win32:Adware-BRI [Adw] (avast!)

비고

 메모리 상주 프로세스, GeniusMouse 프로그램 실행 파일

 

파일 경로

 C:\GeniusMouse\geniusmouse_unin.exe

SHA-1

 27202b4662cd730e62219c96ea36a793d987ad2c

진단명

 Generic.7AD (AVG)

디지털 서명

 Donkey CORP.

비고

 프로그램 삭제 파일

 

파일 경로

 C:\GeniusMouse\geniusmouses.exe

SHA-1

 bde5fc6708e9b42bc2a6b0f04f90fb0e5a66e804

진단명

 ADWARE/Adware.Gen7 (Avira)

디지털 서명

 Donkey CORP.

비고

 예약 작업(gmmgonvnts) 등록 파일

 

파일 경로

 C:\GeniusMouse\geniusmousev.exe

SHA-1

 965d112dd939d4560185643fb47ed6a68dbbf10a

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

레지스트리

등록값

 HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

 - GMOUSEV = "C:\GeniusMouse\geniusmousev.exe" /run

비고

 시작 프로그램(GMOUSEV) 등록 파일

 

파일 경로

 C:\GeniusMouse\geniusp.exe

SHA-1

 bf31b8730812e6b57ec5d8f9efb40b4afe4c0eeb

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 Donkey CORP.

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Windows\gmmgonvntm.exe

SHA-1

 28b6d6739e65e035397cf51dbf62f830745d95d7

진단명

 ADWARE/Kraddare.359336 (Avira)

디지털 서명

 Donkey CORP.

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmmgonvntm

비고

 서비스(gmmgonvntm) 등록 파일

"Donkey CORP. / God of Advertising Co.,Ltd" 디지털 서명이 포함된 "GeniusMouse for Win32" 광고 프로그램은 "C:\GeniusMouse" 폴더와 Windows 폴더에 파일을 생성합니다.

  • 서비스(gmmgonvntm) : "C:\Windows\gmmgonvntm.exe" /srv
  • 시작 프로그램(GMOUSEV) : "C:\GeniusMouse\geniusmousev.exe" /run
  • 예약 작업(gmmgonvnts) : C:\GeniusMouse\geniusmouses.exe /sch

설치된 광고 프로그램은 변종에 따라 다양한 이름으로 등록되는 서비스, 시작 프로그램, 예약 작업 영역에 자동 실행값을 등록하여 시스템 시작시 등록된 파일을 자동 실행하여 프로그램 업데이트 및 광고 구성값 정보를 체크하며, 이를 통해 광고 기능을 수행하는 geniusm.exe, geniusp.exe 파일을 메모리에 상주시킵니다.

 

참고로 "GeniusMouse for Win32" 광고 프로그램 설치 및 실행시에는 가상 환경 및 특정 분석 도구를 체크하여 존재시 실행되지 않도록 분석을 방해하는 기능이 포함되어 있습니다.

외형적으로는 자동 실행된 "C:\GeniusMouse\geniusmouse.exe" 파일을 통해 마우스 우클릭 방지 기능이 포함된 웹 페이지를 마우스 우클릭을 통해 해제가 가능한 유용한 프로그램이지만, 필수적으로 포함된 광고 기능을 통해 추가적인 광고 모듈(342.dll, filepds.dll)을 로딩하여 인터넷 검색 및 웹 사이트 접속 등의 행위 중 다양한 광고가 노출될 수 있습니다.

 

"GeniusMouse for Win32" 광고 프로그램 삭제 방법

 

기본적으로 해당 광고 프로그램은 제어판에 등록된 "GeniusMouse for Win32" 삭제 항목을 이용하여 제거할 수 있지만, 일부 환경에서는 제어판에 등록되지 않는 상태로 프로그램이 실행되고 있으므로 "C:\GeniusMouse\geniusmouse_unin.exe" 삭제 파일을 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

만약 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거를 진행해 보시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gmmgonvntm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어 변수는 서비스 파일명에 따라 달라질 수 있습니다.)

 

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 geniusm.exe, geniusmouse.exe, geniusp.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\GeniusMouse
  • C:\Windows\gmmgonvntm.exe
  • C:\Windows\System32\Tasks\gmmgonvnts
  • C:\Windows\Tasks\gmmgonvnts.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

 - GMOUSEV = "C:\GeniusMouse\geniusmousev.exe" /run

"GeniusMouse for Win32" 광고 프로그램 이름으로는 광고 기능을 수행하는지 쉽게 확인하기 어려우며, 일부 환경에서는 제어판을 통한 프로그램 삭제가 이루어지지 않으므로 설치되지 않도록 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..