본문 바로가기

벌새::Analysis

개인정보 유출 진단 서비스 : 리얼스캔(RealScan) 4.1 & SecuWidgetRs 보안위젯

반응형
국내에서 제작되어 서비스가 이루어지고 있는 유료 개인정보 유출 진단 서비스 리얼스캔(RealScan) 프로그램에 대해 최근 프로그램 삭제 및 팝업창과 관련된 검색이 늘고 있기에 해당 프로그램의 최신 버전을 이용하여 파일 구성에 대해 살펴보도록 하겠습니다.

해당 프로그램이 초창기 공개되었을 당시 작성한 글을 참고하시기 바라며, 프로그램은 버전에 따라 레지스트리 정보가 다르게 구성되는 것으로 추정됩니다.

현재 개인적으로 확인한 프로그램 설치 경로는 명의도용 서비스 Siren24 사이트 접속시 제휴(스폰서) 프로그램으로 해당 프로그램이 ActiveX 방식으로 설치가 이루어지고 있는 것으로 알려져 있으므로 참고하시기 바랍니다.(참고로 Siren24 서비스 이용시 RealScan 설치는 필수가 아니며, 동일 업체 서비스가 아닙니다.)

RealScan 프로그램은 [C:\CREFREE\RealScan] 폴더에 파일을 생성하고 있으며, Windows 시작시 RealScan.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

최근에는 추가적으로 [C:\Program Files\CREFREE\SecuWidgetRs] 폴더에 [SecuWidgetRs 보안위젯]이라는 프로그램을 함께 설치하는 동작을 확인할 수 있으며, 해당 프로그램으로 인하여 팝업창 생성이 발생하는 것이 아닌가 추정됩니다.

참고로 SecuWidgetRs 보안위젯은 Windows 시작시 SecuWidgetRs.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로세스 정보를 살펴보면 Windows 시작시 RealScan.exe / SecuWidgetRs.exe 2개의 프로세스가 생성되는 것을 확인할 수 있습니다.

프로그램 삭제시에는 RealScan 프로그램 종료 및 작업 관리자에서 SecuWidgetRs.exe 프로세스를 수동으로 종료한 후, 제어판의 [RealScan 개인정보유출진단], [SecuWidgetRs 보안위젯] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\RealScan_Launcher.dll] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

1. RealScan 4.1

HKEY_CLASSES_ROOT\CFI.CFICtrl.1
HKEY_CLASSES_ROOT\CLSID\{94A3E68F-3E08-4C4C-AC98-3FA1B3B54684}
HKEY_CLASSES_ROOT\CLSID\{E92BD7ED-2045-4EFD-BB85-46444C9F738C}
HKEY_CLASSES_ROOT\Interface\{821F344E-182D-487B-BA56-C7DDD82E6566}
HKEY_CLASSES_ROOT\Interface\{AA69C4FB-CFED-4B69-9CD1-4D7D3FB52586}
HKEY_CLASSES_ROOT\TypeLib\{99C7CE31-8D09-4357-8C87-A2B41CD472A5}
HKEY_CURRENT_USER\Software\CREFREE
HKEY_CURRENT_USER\Software\CREFREE\RealScan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RealScan.exe = C:\CREFREE\RealScan\RealScan.exe /H /start
HKEY_LOCAL_MACHINE\software\CREFREE
HKEY_LOCAL_MACHINE\software\CREFREE\RealScan
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8D2B0FEF-AD16-4BC8-A733-9B79B2FAD84E}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{8D2B0FEF-AD16-4BC8-A733-9B79B2FAD84E}

2. SecuWidgetRs 보안위젯

HKEY_CURRENT_USER\Software\CREFREE
HKEY_CURRENT_USER\Software\CREFREE\SecuWidgetRs
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SecuWidgetRs.exe = C:\Program Files\CREFREE\SecuWidgetRs\SecuWidgetRs.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{A9EB7CB8-AF4C-4B46-9FBF-1B866C5EF517}

만약 해당 프로그램을 명령어를 통한 빠른 삭제를 원하시는 분들은 다음의 명령어를 실행창에 입력하여 삭제하시기 바랍니다.

1. RealScan 개인정보유출진단 삭제 명령어

C:\Program Files\InstallShield Installation Information\{8D2B0FEF-AD16-4BC8-A733-9B79B2FAD84E}\setup.exe -uninst -runfromtemp

2. SecuWidgetRs 보안위젯 삭제 명령어

C:\Program Files\InstallShield Installation Information\{A9EB7CB8-AF4C-4B46-9FBF-1B866C5EF517}\setup.exe -uninst -runfromtemp

해당 프로그램은 프로그램 업데이트 등을 통해 일부 정보가 변경될 수 있으므로 참고하시기 바랍니다.
728x90
반응형