본문 바로가기

벌새::Analysis

검색 도우미 : AD79 팝업 프로그램 - Retrieval Engine

반응형
국내에서 제작되어 특정 소프트웨어의 제휴(스폰서) 프로그램 방식으로 배포되는 것으로 추정되는 AD79 팝업 프로그램 - Retrieval Engine에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(SHA1 : 0a7208e1f9d894482453680cda857daee9c043bc)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.AD79.Do.51496 (VirusTotal : 1/43) 진단명으로 진단되므로 참고하시기 바랍니다.

[생성 파일 등록 정보]

C:\Documents and Settings\aucf_sms.exe :: 숨김(H) 속성, 시작 프로그램 등록 파일
C:\Documents and Settings\CGZipLibrary.dll :: 숨김(H) 속성
C:\Documents and Settings\COMCT332.OCX :: 숨김(H) 속성
C:\Documents and Settings\MSCOMCTL.OCX :: 숨김(H) 속성
C:\Documents and Settings\MSWINSCK.OCX :: 숨김(H) 속성
C:\Documents and Settings\scrrun.dll :: 숨김(H) 속성
C:\Documents and Settings\Unzip32.dll :: 숨김(H) 속성
C:\Program Files\Retrieval Engine\nrtval.ini :: 숨김(H) 속성
C:\Program Files\Retrieval Engine\retrievaleng.exe :: 메모리 상주 프로세스
C:\Program Files\Retrieval Engine\rtval.der

C:\Program Files\Retrieval Engine\unins000.dat
C:\Program Files\Retrieval Engine\unins000.exe :: 프로그램 삭제
C:\Program Files\Retrieval Engine\uninstall_sms.exe

C:\setup.exe
C:\Documents and Settings\All Users\시작 메뉴\프로그램\Retrieval Engine\Retrieval Engine.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\wmc_sms.exe :: 숨김(H) 속성, 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~DFC725.tmp

해당 프로그램은 Windows 시작시 숨김(H) 속성으로 등록된 [C:\Documents and Settings\aucf_sms.exe] 파일과 [C:\Documents and Settings\(사용자 계정)\Application Data\wmc_sms.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

aucf.sms.exe (SHA1 : 53e50d9e29ed3507f9b7afff4bc667fff9285816) 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.AD79.Do.149808 (VirusTotal : 2/43) 진단명으로 진단되고 있으며, 최종적으로 retrievaleng.exe 파일을 메모리에 상주시키는 방식으로 프로그램이 실행됩니다.

wmc_sms.exe 파일은 사용자 몰래 추가적으로 코디걸스(CodiGrils) 여성 의류 인터넷 쇼핑몰 관련 프로그램 및 바탕 화면에 웹하드 관련 [최신영화무료다운] 바로가기 아이콘 생성 등의 동작을 확인할 수 있습니다.

참고로 최신 영화 무료 다운 바로가기 프로그램을 설치하기 위하여 생성되는 [C:\Documents and Settings\(사용자 계정)\Application Data\setup_bondisk_barcon_babacc3.exe] 설치 파일(SHA1 : ae5c76bea60ec5f600a7ae9eaf02ea33c62df2ce)에 대하여 Hauir ViRobot 보안 제품에서는 Adware.BonDisk.Icon.130518 (VirusTotal : 2/43) 진단명으로 진단되므로 참고하시기 바랍니다.

프로그램이 설치된 환경에서 사용자 PC에서 구현되는 기본적인 동작 방식은 메모리에 상주하는 retrievaleng.exe 프로세스가 일정 시간마다 주기적으로 시스템 트레이 상단에 클릭n바이 팝업창을 생성하여 사용자가 해당 광고를 클릭할 경우 CPC 방식으로 수익이 발생하는 것으로 보입니다.

프로그램 삭제시에는 작업 관리자에서 retrievaleng.exe 프로세스를 수동으로 종료한 후, 제어판의 [Retrieval Engine 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 과정에서는 그림과 같이 해당 프로그램이 설치한 관련 파일에 대한 삭제 여부를 묻는 창이 생성되므로 사용자는 [Yes] 버튼을 클릭하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.

 

C:\Documents and Settings\aucf_sms.exe
C:\Documents and Settings\rtval.ini
C:\Program Files\Retrieval Engine
C:\Program Files\Retrieval Engine\nrtval.ini
C:\setup.exe
C:\Documents and Settings\(사용자 계정)\Application Data\wmc_sms.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~DFC725.tmp


해당 프로그램의 설치로 인한 레지스트리 등록 정보 및 변경 정보가 다소 복잡하므로 프로그램에서 제공하는 삭제 기능을 이용하시길 권장하며, 해당 내용은 참고로 활용하시기 바랍니다.

[생성(변경) 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CGZipLibrary.CGUnzipFiles
HKEY_CLASSES_ROOT\CGZipLibrary.CGZipFiles
HKEY_CLASSES_ROOT\CLSID\{0CF774D0-F077-11D1-B1BC-00C04F86C324}\InprocServer32
 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\CLSID\{0D43FE01-F093-11CF-8940-00A0C9054228}\InprocServer32

 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}

HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{293364AE-43F8-11D3-BC2D-4000000A2806}
HKEY_CLASSES_ROOT\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{32DA2B15-CFED-11D1-B747-00C04FC2B085}\InprocServer32
 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}

HKEY_CLASSES_ROOT\CLSID\{38911D8E-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\CLSID\{5522DAF8-06D6-11D2-8D70-00A0C98B28E2}
HKEY_CLASSES_ROOT\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{85131630-480C-11D2-B1F9-00C04F86C324}\InprocServer32
 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}

HKEY_CLASSES_ROOT\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}
HKEY_CLASSES_ROOT\CLSID\{EE09B103-97E0-11CF-978F-00A02463E06F}\InprocServer32
 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}

HKEY_CLASSES_ROOT\ComCtl3.Band
HKEY_CLASSES_ROOT\ComCtl3.BandProperties
HKEY_CLASSES_ROOT\ComCtl3.Bands
HKEY_CLASSES_ROOT\ComCtl3.CoolBar
HKEY_CLASSES_ROOT\Interface\{0AB5A3D0-E5B6-11D0-ABF5-00A0C90FFFC0}\TypeLib
 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후

HKEY_CLASSES_ROOT\Interface\{2A0B9D10-4B87-11D3-A97A-00104B365C9F}\TypeLib
 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{38911D87-E448-11D0-84A3-00DD01104159}

HKEY_CLASSES_ROOT\Interface\{38911D8A-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{38911D8D-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{38911D8F-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{38911D91-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{38911D96-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{38911D9C-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\Interface\{53BAD8C1-E718-11CF-893D-00A0C9054228}\TypeLib
 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{5425E29A-48E9-11D3-BC2D-4000000A2806}

HKEY_CLASSES_ROOT\Interface\{5425E2A5-48E9-11D3-BC2D-4000000A2806}
HKEY_CLASSES_ROOT\Interface\{5522DAF7-06D6-11D2-8D70-00A0C98B28E2}
HKEY_CLASSES_ROOT\Interface\{5522DAF9-06D6-11D2-8D70-00A0C98B28E2}
HKEY_CLASSES_ROOT\Interface\{5522DB03-06D6-11D2-8D70-00A0C98B28E2}
HKEY_CLASSES_ROOT\Interface\{C7C3F5A0-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib
 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{C7C3F5A1-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib

 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{C7C3F5A2-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib

 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{C7C3F5A3-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib

 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{C7C3F5A4-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib

 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\Interface\{C7C3F5A5-88A3-11D0-ABCB-00A0C90FFFC0}\TypeLib

 - (기본값) = {F935DC20-1CF0-11D0-ADB9-00C04FD58A0B} :: 변경 전
 - (기본값) = {420B2830-E718-11CF-893D-00A0C9054228} :: 변경 후
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

HKEY_CLASSES_ROOT\TypeLib\{293364AC-43F8-11D3-BC2D-4000000A2806}
HKEY_CLASSES_ROOT\TypeLib\{38911DA0-E448-11D0-84A3-00DD01104159}
HKEY_CLASSES_ROOT\TypeLib\{420B2830-E718-11CF-893D-00A0C9054228}\1.0\0\win32
 - (기본값) = C:\WINDOWS\system32\scrrun.dll :: 변경 전
 - (기본값) = C:\Documents and Settings\scrrun.dll :: 변경 후
HKEY_CLASSES_ROOT\TypeLib\{831FDD16-0C5C-11D2-A9FC-0000F8754DA1}

HKEY_CURRENT_USER\Software\Retrieval Engine
HKEY_CURRENT_USER\Software\Retrieval Engine\Retrieval Engine
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - Retrieval Engine = C:\Documents and Settings\aucf_sms.exe
 - wmc = C:\Documents and Settings\(사용자 계정)\Application Data\wmc_sms.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8318B0-B7EC-4027-AEE1-A9911A492C16}_is1

HKEY_LOCAL_MACHINE\software\Retrieval Engine
HKEY_LOCAL_MACHINE\software\Retrieval Engine\Retrieval Engine


해당 프로그램은 생성 파일 일부가 사용자가 확인하기 어렵게 숨김(H) 속성으로 등록된다는 점, 추가적인 광고 프로그램이 설치된다는 점, 일정 시간마다 생성되는 팝업창의 클릭이 수익으로 직결된다는 점 등에서 설치 과정에서 사용자는 제대로 인지하지 못할 것으로 판단됩니다.

728x90
반응형
  • 슈크림 붕어빵 2010.11.08 17:48 댓글주소 수정/삭제 댓글쓰기

    와. 정말 감사합니다. 이거 지우려고 며칠 동안 고생했는데.

  • 와우 2010.11.10 17:24 댓글주소 수정/삭제 댓글쓰기

    진짜 감사합니다. 이것때문에 저또한 고생했거든요.

    어떤놈이 cpu-z 설치에다가 이것도 설치해놔서 고생좀 했어요.

    • 정상적인 프로그램에 추가적인 광고 프로그램을 넣어서 블로그나 공개 자료실을 통해 배포하는 사례가 많으므로 프로그램은 제작사 사이트에서 받는 습관이 중요합니다.

  • 로사 2010.11.22 10:15 댓글주소 수정/삭제 댓글쓰기

    클릭n바이 땜에 고생하고 있습니다.
    정말 미칠거 같네요.

    헌데 이상하게 windows작업관리자에서 뜨질 않아요 그 프로그램이;;삭제하고 싶은데 ㅠ

    네이버에서 검색해서, 아까 로컬디스크->프로그램파일->re~~ 그거 들어가면 yes 뜨는거 삭제방법이 있대서 들어갔더니 메모장파일밖에없길래 뭐지..하며 그 폴더전체를 삭제해서 이제 안뜰줄 알았더니 또뜨네요 ㅠㅠ 방법이...........하아..ㅠ

    • 제가 확인한 클릭n바이 광고 뜨는 것은 이 프로그램입니다.

      하지만 해당 프로그램이 사용자 PC에 설치되어 있지 않다면 다른 프로그램이 그런 동작을 유발할 수 있을것 같습니다.

      그리고 이런 프로그램이 자신을 숨기려고 다른 위치에 프로그램을 설치할 수도 있지 않나 생각됩니다.

      일단 이 프로그램의 경우 작업 관리자에서 보시면 retrievaleng.exe 프로세스가 존재합니다.

      만약 해당 프로세스가 없다면 다른 프로그램으로 인한 문제가 아닐까 생각됩니다.

      큰 도움이 못되어서 죄송합니다.

    • 로그 2011.01.20 22:51 댓글주소 수정/삭제

      혹시 whrteng 프로그램이 깔린 거 아닌가요? 이것도 마찬가지로 팝업이 뜨거든요.

      우선 작업관리자에서 whrteng 종료한다음

      program files 에서 whrteng 폴더들어간다음 언인스톨 하면되요.

    • 워낙 변종이 많아서 확인이 어렵군요.ㅠㅠ

  • 모르겠어용 ㅠ 2011.04.03 23:46 댓글주소 수정/삭제 댓글쓰기

    저기 머가먼지 잘모르겠어서;; 간단히 요약해주시면안될까요