[삭제] whrteng version 1.0.0

사용자 PC에 AD79 시리즈 광고 프로그램이 설치되는 과정에서 사용자 몰래 추가적인 파일을 등록하여 바탕화면에 생성된 바로가기 아이콘을 삭제하여도 이전에도 시스템 재부팅시 매번 재설치가 이루어지는 whrteng version 1.0.0 프로그램에 대해 살펴보도록 하겠습니다.

 

• [삭제] stip version 1.0.0

해당 프로그램과 유사한 AD79 시리즈 중의 하나인 stip version 1.0.0 프로그램이 존재하므로 참고하시기 바랍니다.

해당 프로그램이 설치된 환경에서는 프로그램 목록에 그림과 같은 whrteng 프로그램 목록이 추가되어 있는 것을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\whrteng\temp
C:\Program Files\whrteng\rmwhrt_ad79.exe
C:\Program Files\whrteng\sufi7ad79.exe :: 시작 프로그램 등록 파일
C:\Program Files\whrteng\unins000.dat
C:\Program Files\whrteng\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\whrteng\whrteng.der
C:\Program Files\whrteng\whrteng.exe :: 메모리 상주 프로세스
C:\Program Files\whrteng\whrteng.ini
C:\Users\Default\AppData\fbgdad79.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\COMCT332.OCX
C:\WINDOWS\system32\MSCOMCTL.OCX
C:\WINDOWS\system32\MSWINSCK.OCX
C:\Documents and Settings\All Users\시작 메뉴\프로그램\whrteng\whrteng.lnk

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\whrteng
HKEY_CURRENT_USER\Software\whrteng\whtreng
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - fbgd = C:\Users\Default\AppData\fbgdad79.exe
 - whrteng = "C:\Program Files\whrteng\sufi7ad79.exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{516051EF-7FB3-4FE3-B73A-529BE828551F}_is1
HKEY_LOCAL_MACHINE\software\whrteng
HKEY_LOCAL_MACHINE\software\whrteng\whrteng

 

whrteng version 1.0.0 프로그램은 [C:\Program Files\whrteng] 폴더에 주요 파일을 생성하며, Windows 시작시 sufi7ad79.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

시작 프로그램으로 등록된 sufi7ad79.exe 파일은 [h**p://ad**.co.kr/whrtengdown/sufiad79.ini] 업데이트 정보를 통해 [h**p://ad**.co.kr/whrtengdown/whrteng.exe] 파일을 다운로드하여 [C:\Program Files\whrteng\whrteng.exe] 파일을 생성합니다.

그 외 클릭n바이 광고 체크, 설치된 PC의 Mac Address, IP 정보를 수집하는 것을 확인할 수 있습니다.

whrteng version 1.0.0 프로그램은 사용자 몰래 추가적으로 [C:\Users\Default\AppData\fbgdad79.exe] 파일을 생성하여 시작 프로그램에 등록하여 시스템 시작시 매번 다음과 같은 동작을 진행합니다.

해당 파일은 [h**p://ad79.co.kr/wmcdown/fbgdad797.ini] 업데이트 정보를 통해 [h**p://ad**.co.kr/wmcdown/;setup_bondisk_barcon_babacc3.exe] 파일을 다운로드를 시도합니다.

 

[생성 파일 진단 정보]

C:\Users\Default\AppData\setup_bondisk_barcon_babacc3.exe (MD5 : c530b8ba0257659bd4066e357496fb77)
 - Hauri ViRobot : Adware.BonDisk.Icon.130518 (VirusTotal : 12/43)

 

다운로드되어 생성된 setup_bondisk_barcon_babacc3.exe 파일은 시스템 재부팅 과정에서 바탕화면에 다음과 같은 특정 웹하드 바로가기 아이콘을 생성합니다.

바탕화면에 생성된 특정 추천인 아이디를 가진 [최신영화무료다운] 바로가기 아이콘은 사용자가 삭제를 하여도, 시스템 재시작시마다 시작 프로그램으로 등록된 fbgdad79.exe 파일이 계속적으로 다운로드를 하여 재설치를 하도록 하고 있습니다.

프로그램 삭제시에는 작업 관리자에서 whrteng.exe 프로세스를 수동으로 종료한 후, 제어판의 [whrteng version 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 과정에서 그림과 같은 COMCT332.OCX / MSCOMCTL.OCX / MSWINSCK.OCX 공유 파일의 삭제 여부를 묻는 창이 생성될 경우 해당 파일을 타 응용 프로그램이 이용할 수 있으므로 [No]를 선택하여 삭제하시기 권장합니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.

 

• C:\Program Files\whrteng
• C:\Program Files\whrteng\temp
• C:\Users\Default\AppData\fbgdad79.exe
• C:\Users\Default\AppData\setup_bondisk_barcon_babacc3.exe
• C:\Documents and Settings\(사용자 계정)\바탕 화면\최신영화무료다운.Ink

해당 사례와 같이 whrteng version 1.0.0 프로그램을 제어판에서 정상적으로 삭제를 하여도 사용자 몰래 설치되어 시작 프로그램으로 등록된 fbgdad79.exe 파일을 추가적으로 삭제하지 않을 경우, 바탕화면 바로가기를 비롯한 사용자 동의없이 설치되는 광고 프로그램이 매번 반복적으로 설치가 이루어질 수 있는 문제가 있으므로 주의하시기 바랍니다.