본문 바로가기

벌새::Analysis

검색 도우미 : uniz uninstall

반응형

특정 웹 사이트 접속 시 ActiveX 방식으로 배포되는 유니즈(uniz) 위젯 설치 시 해당 사이트 홍보 목적의 광고 배너를 포털 사이트 메인 페이지에 노출시키는 "uniz uninstall" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

 

이름

 unizcontrol

게시자

 Publicnet Co.,Ltd.

유형

 ActiveX 컨트롤

CLSID

 {CAE5A89D-5A27-4F77-973E-B02069FB2152}

폴더 / 파일

 C:\Windows\Downloaded Program Files\unizcontrol.dll

 

배포 방식을 살펴보면 특정 웹 사이트 접속 시 uniz 프로그램 설치를 유도하여 "Publicnet Co.,Ltd." 게시자가 포함된 unizcontrol ActiveX 컨트롤 설치가 진행될 수 있습니다.

 

 

이를 통해 특정 서버로부터 설치 파일(SHA-1 : ecf866fca92a6d42dd189acafa76ef781f8150e7)을 다운로드하여 "C:\Users\%UserName%\AppData\Local\UNIZ\unizsetup.exe" 형태로 임시 생성 및 실행을 통해 "유니즈 위젯" 광고 프로그램 설치를 유도한 후 설치가 완료된 후에는 설치 파일은 자동 삭제 처리됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\uniz
C:\Users\%UserName%\AppData\Roaming\uniz\Mtodt.tmd
C:\Users\%UserName%\AppData\Roaming\uniz\mu.dll
C:\Users\%UserName%\AppData\Roaming\uniz\uniz.dat
C:\Users\%UserName%\AppData\Roaming\uniz\uniz.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\uniz\uniz.ini
C:\Users\%UserName%\AppData\Roaming\uniz\unizmon.exe :: 서비스(unizmonservice) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\uniz\unizuninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\uniz\unizup.txt
C:\Users\%UserName%\AppData\Roaming\uniz\unizupdate.exe
C:\Users\%UserName%\AppData\Roaming\uniz\unizupdate.log
C:\Windows\Downloaded Program Files\unizcontrol.dll :: unizcontrol ActiveX 컨트롤
C:\Windows\Downloaded Program Files\unizcontrol.inf

 

 

"DNUTT Inc", "Publicnet Co.,Ltd." 2개의 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\uniz" 폴더에 파일을 생성합니다.

 

 

"unizmonservice (표시 이름 : unizmonservice)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\uniz\unizmon.exe" 파일(SHA-1 : e0e6394266e93d0d646442c2eb8abf04d066f8af)을 자동 실행하여 메모리에 상주시킵니다.

 

실행된 unizmon.exe 서비스 파일은 "C:\Users\%UserName%\AppData\Roaming\uniz\unizupdate.exe" 파일(SHA-1 : 2640ba53b3872489027305f2781754e26467b52b)을 로딩하여 프로그램 업데이트 체크 후 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\uniz\uniz.exe" 파일(SHA-1 : 9e7e5e4524be1c7a1816f14883edf0f0899eeccc)을 실행시켜 메모리에 상주시킵니다.

 

광고 프로그램이 실행된 후 일정 시간이 경과 시 작업 표시줄 알림 영역 상단에 uniz 광고 팝업창을 자동 생성할 수 있습니다.

 

 

또한 국내 포털 사이트 메인 화면에 접속할 경우 좌/우측 사이드 영역에 uniz 광고 배너를 생성하며 사용자는 포털 사이트에서 제공하는 광고 배너로 착각을 유발할 수 있습니다.

 

"uniz uninstall" 광고 프로그램 제거 방법

 

 

(a) 명령 프롬프트(관리자)를 실행하여 sc stop "unizmonservice" 명령어를 입력 및 실행하여 메모리에 상주하는 unizmon.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) 작업 관리자를 실행하여 메모리에 상주하는 uniz.exe 프로세스를 찾아 종료하시기 바라며, 특히 Windows 운영 체제 환경에서 권한 문제로 프로세스 종료가 이루어지지 않을 경우에는 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 종료하시기 바랍니다.

 

 

(c) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "uniz uninstall" 프로그램을 찾아 제거하시기 바랍니다.

 

또한 프로그램 제거 후에는 추가적으로 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

 

  • C:\Users\%UserName%\AppData\Roaming\uniz
  • C:\Windows\Downloaded Program Files\unizcontrol.dll
  • C:\Windows\Downloaded Program Files\unizcontrol.inf

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\uniz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{4CEF2118-3886-4A15-81DB-077C9DC6B547}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\unizcontrol.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAE5A89D-5A27-4f77-973E-B02069FB2152}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{49C5BC2C-444D-423A-ADAB-CACF2A8B9968}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{984D1315-EAFD-4176-BB1E-D75977EDC07B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AEA2EE54-2920-4145-A375-90B68ABD1956}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unizcontrol.Launcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\unizcontrol.Launcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAE5A89D-5A27-4F77-973E-B02069FB2152}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/unizcontrol.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\Windows\Downloaded Program Files\unizcontrol.dll = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uniz
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\unizmonservice

 

 

"uniz uninstall" 광고 프로그램이 설치되어 노출되는 광고 배너는 사용자로 하여금 포털 사이트에서 제공하는 광고 배너로 착각을 유발할 수 있으며, 최초 설치 시 프로그램 이용약관 제시가 전혀 없다는 점에서 주의하시기 바랍니다.

 

728x90
반응형