해당 프로그램은 기존의 유사한 유형의 다양한 변종 프로그램이 존재하므로 참고하시기 바랍니다.
C:\Documents and Settings\All Users\Documents\rhea.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\All Users\시작 메뉴\프로그램\prex
C:\Documents and Settings\All Users\시작 메뉴\프로그램\prex\prex.lnk
C:\Program Files\Common Files\savitar.exe :: 시작 프로그램 등록 파일
C:\Program Files\prex
C:\Program Files\prex\prex.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\prex\unins000.dat
C:\Program Files\prex\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\prex\urp.exe
C:\WINDOWS\ntstln.log
C:\WINDOWS\tsklb.log
C:\WINDOWS\tsklc.log
C:\WINDOWS\tskmb.log
C:\WINDOWS\tskmc.log
해당 프로그램이 설치된 환경에서는 프로그램 목록에 그림과 같은 prex라는 이름으로 등록이 되며, [C:\Program Files\prex] 폴더에 주요 파일을 생성하도록 구성되어 있습니다.
하지만 추가적으로 사용자가 인지하지 못하는 폴더 위치에 rhea.exe / savitar.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
하지만 프로그램 설치 후 재부팅시 시작 프로그램으로 등록된 prex.exe 파일은 레지스트리 등록 문제로 인하여 정상적으로 자동 실행되지 않는 것으로 확인이 됩니다.
정상적인 동작을 한다고 가정을 할 경우 시작 프로그램으로 등록된 prex.exe 프로세스는 자동 실행되어 파일 버전 체크 및 사용자 IP & Mac Address 체크를 한 후, 메모리에 상주하도록 구성되어 있습니다.
사용자가 인터넷 검색을 시도할 경우 특정 검색어에 따라 그림과 같은 광고창이 생성되는 것을 확인할 수 있습니다.
해당 광고창 접속 로그를 확인해보면 특정 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.
- rhea.exe : 사용자 IP & Mac Address 체크 - h**p://114.***.199.***/rhea.php
- savitar.exe : 사용자 IP & Mac Address 체크 - h**p://114.***.199.***/savitar.php
추가적으로 시작 프로그램에 등록된 rhea.exe / savitar.exe 파일은 매번 다음과 같은 정보를 체크하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 작업 관리자에서 prex.exe 프로세스를 수동으로 종료한 후, 제어판의 [prex version 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\All Users\Documents\rhea.exe
- C:\Program Files\Common Files\savitar.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- prex = C:\Program Files\prex\prex.exe,
- Rhea = C:\Documents and Settings\All Users\Documents\rhea.exe
- Savitar = C:\Program Files\Common Files\savitar.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9F14735D-182C-4EF9-99E2-AAA1153FCE31}_is1
해당 프로그램은 광고창 생성 이외에 사용자 몰래 추가한 파일로 인하여 차후 프로그램 다운로드 및 설치 행위가 있을 수 있으므로 주의하시기 바랍니다.
비밀댓글입니다
비밀댓글입니다
toast 관련해서는 http://hummingbird.tistory.com/3007 글을 참고하시기 바랍니다.
이 글의 핵심은 작업 관리자에서 prex.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에서 해당 삭제 항목을 찾아서 삭제를 하시기 바랍니다.
만약 삭제가 되지 않는다면 생성 파일, 레지스트리를 직접 찾아서 수동으로 제거하시기 바랍니다.
프로그램 추가제거에서 삭제하고 program files 에 있는 prex폴더 삭제했는데도 컴퓨터를 다시 부팅할때마다 새로 생성되네요;;그리고 즐겨찾기에도 g마켓,옥션,11번가와 같은 것들이 자꾸 생성되는데....어떻게 하죠?
사용자 PC에 이들 프로그램을 설치하는 다른 악성 파일이 존재하기 때문인 것으로 보입니다.
1. 시작 프로그램에 등록된 파일 점검 : msconfig
2. 서비스에 등록된 항목 점검 : http://hummingbird.tistory.com/2776
3. 기타 사용자 PC에 설치된 국내에서 제작된 각종 광고 프로그램 삭제
4. 유명 보안 제품을 통한 정밀 검사
위와 같은 방식으로 그런 파일을 찾아서 제거하시기 바랍니다.