본문 바로가기

벌새::Analysis

[삭제] prex version 1.0.0

반응형
국내에서 제작되어 인터넷 검색시 광고창을 생성하는 prex version 1.0.0 프로그램에 대해 살펴보도록 하겠습니다.
 

해당 프로그램은 기존의 유사한 유형의 다양한 변종 프로그램이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\All Users\Documents\rhea.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\All Users\시작 메뉴\프로그램\prex
C:\Documents and Settings\All Users\시작 메뉴\프로그램\prex\prex.lnk
C:\Program Files\Common Files\savitar.exe :: 시작 프로그램 등록 파일
C:\Program Files\prex
C:\Program Files\prex\prex.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\prex\unins000.dat
C:\Program Files\prex\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\prex\urp.exe
C:\WINDOWS\ntstln.log
C:\WINDOWS\tsklb.log
C:\WINDOWS\tsklc.log
C:\WINDOWS\tskmb.log
C:\WINDOWS\tskmc.log

해당 프로그램이 설치된 환경에서는 프로그램 목록에 그림과 같은 prex라는 이름으로 등록이 되며, [C:\Program Files\prex] 폴더에 주요 파일을 생성하도록 구성되어 있습니다.

하지만 추가적으로 사용자가 인지하지 못하는 폴더 위치에 rhea.exe / savitar.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

 

 

하지만 프로그램 설치 후 재부팅시 시작 프로그램으로 등록된 prex.exe 파일은 레지스트리 등록 문제로 인하여 정상적으로 자동 실행되지 않는 것으로 확인이 됩니다.

 

 

정상적인 동작을 한다고 가정을 할 경우 시작 프로그램으로 등록된 prex.exe 프로세스는 자동 실행되어 파일 버전 체크 및 사용자 IP & Mac Address 체크를 한 후, 메모리에 상주하도록 구성되어 있습니다.

사용자가 인터넷 검색을 시도할 경우 특정 검색어에 따라 그림과 같은 광고창이 생성되는 것을 확인할 수 있습니다.

 

 

해당 광고창 접속 로그를 확인해보면 특정 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.

 

  1. rhea.exe : 사용자 IP & Mac Address 체크 - h**p://114.***.199.***/rhea.php
  2. savitar.exe : 사용자 IP & Mac Address 체크 - h**p://114.***.199.***/savitar.php

추가적으로 시작 프로그램에 등록된 rhea.exe / savitar.exe 파일은 매번 다음과 같은 정보를 체크하는 것을 확인할 수 있습니다.

 

 

프로그램 삭제시에는 작업 관리자에서 prex.exe 프로세스를 수동으로 종료한 후, 제어판의 [prex version 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\All Users\Documents\rhea.exe
  • C:\Program Files\Common Files\savitar.exe
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - prex = C:\Program Files\prex\prex.exe,
 - Rhea = C:\Documents and Settings\All Users\Documents\rhea.exe
 - Savitar = C:\Program Files\Common Files\savitar.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{9F14735D-182C-4EF9-99E2-AAA1153FCE31}_is1

 

해당 프로그램은 광고창 생성 이외에 사용자 몰래 추가한 파일로 인하여 차후 프로그램 다운로드 및 설치 행위가 있을 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 비밀댓글입니다

  • 비밀댓글입니다

    • toast 관련해서는 http://hummingbird.tistory.com/3007 글을 참고하시기 바랍니다.

      이 글의 핵심은 작업 관리자에서 prex.exe 프로세스를 찾아 수동으로 종료한 후, 제어판에서 해당 삭제 항목을 찾아서 삭제를 하시기 바랍니다.

      만약 삭제가 되지 않는다면 생성 파일, 레지스트리를 직접 찾아서 수동으로 제거하시기 바랍니다.

  • holiq 2011.06.05 17:50 댓글주소 수정/삭제 댓글쓰기

    프로그램 추가제거에서 삭제하고 program files 에 있는 prex폴더 삭제했는데도 컴퓨터를 다시 부팅할때마다 새로 생성되네요;;그리고 즐겨찾기에도 g마켓,옥션,11번가와 같은 것들이 자꾸 생성되는데....어떻게 하죠?

    • 사용자 PC에 이들 프로그램을 설치하는 다른 악성 파일이 존재하기 때문인 것으로 보입니다.

      1. 시작 프로그램에 등록된 파일 점검 : msconfig

      2. 서비스에 등록된 항목 점검 : http://hummingbird.tistory.com/2776

      3. 기타 사용자 PC에 설치된 국내에서 제작된 각종 광고 프로그램 삭제

      4. 유명 보안 제품을 통한 정밀 검사

      위와 같은 방식으로 그런 파일을 찾아서 제거하시기 바랍니다.