울지않는벌새 : Security, Movie & Society

검색 도우미 : Miconsoft Control management

벌새::Analysis

마이크로소프트(Microsoft)와 유사한 이름으로 등록하여 "아이템 매니아" 바로가기 아이콘 생성 및 검색 공급자를 변경 시도하는 "Miconsoft Control management" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : dfe9bedcde261b4bda5a3380c1f00131)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.228664 (VirusTotal : 12/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\아이템 매니아.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\아이템 매니아.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\아이템 매니아.lnk
C:\Documents and Settings\All Users\바탕 화면\아이템 매니아.lnk
C:\Program Files\Miconsoft
C:\Program Files\Miconsoft\ico
C:\Program Files\Miconsoft\ico\itemmania__1__.ico
C:\Program Files\Miconsoft\miconsoft_s.exe
C:\Program Files\Miconsoft\miconsoft.dll :: BHO 등록 파일
C:\Program Files\Miconsoft\miconsoft.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Miconsoft\miconsoft.ico
C:\Program Files\Miconsoft\miconsoft.ini
C:\Program Files\Miconsoft\miconsoftmb.exe
C:\Program Files\Miconsoft\miconsoftrun.exe
C:\Program Files\Miconsoft\muninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Miconsoft\miconsoft_s.exe
 - MD5 : 69ff0d7fe8e459cd3c492947cf4f9cb4
 - AhnLab V3 : Win-PUP/Helper.Miconsoft.69280 (VirusTotal : 2/42)

 

C:\Program Files\Miconsoft\miconsoft.dll
 - MD5 : 329c8c896af2a8dd5c48fe93975ba0fb
 - AhnLab V3 : Win-PUP/Helper.Miconsoft.65184 (VirusTotal : 2/42)

 

C:\Program Files\Miconsoft\miconsoft.exe
 - MD5 : 880882c8d915ae9f05dc940da8b6d3fe
 - AhnLab V3 : Win-PUP/Helper.Miconsoft.102048 (VirusTotal : 6/42)

 

C:\Program Files\Miconsoft\miconsoftmb.exe
 - MD5 : b37c74446ac1357972718a8dfbec69a0
 - AhnLab V3 : Win-PUP/Helper.Miconsoft.32416 (VirusTotal : 2/42)

 

C:\Program Files\Miconsoft\miconsoftrun.exe
 - MD5 : cb89e55f772ecd4253748ade72088471
 - AhnLab V3 : Win-PUP/Helper.Miconsoft.36512 (VirusTotal : 2/42)

 

해당 프로그램은 마이크로소프트(Microsoft)와 유사한 이름의 "C:\Program Files\Miconsoft" 폴더에 파일을 생성하며, Windows 시작시 miconsoft.exe 파일을 시작 프로그램으로 등록하여 자동 실행하도록 제작되어 있습니다.(※ 자동 실행된 miconsoft.exe 파일은 파일 버전 체크를 비롯한 업데이트 확인 후 메모리에 상주하도록 구성되어 있습니다.) 

설치된 프로그램은 바탕 화면, 빠른 실행, 즐겨찾기, 시작 메뉴에 "아이템 매니아" 바로가기 아이콘을 생성하며, 연결을 시도할 경우 특정 광고 코드를 경유하여 아이템 매니아 웹 사이트로 연결되는 동작을 확인할 수 있습니다. 

프로그램이 설치된 환경에서 최초 Internet Explorer 웹 브라우저를 실행할 경우 "기본 검색 공급자" 변경을 위한 창이 생성되어, 사용자가 지정한 기본 검색 공급자(예, Bing)에서 "검색(search.miconsoft.kr)"으로 변경을 시도합니다. 

만약 사용자가 기본 검색 공급자를 "검색(search.miconsoft.kr)"으로 변경한 후 검색을 시도할 경우, 열린 주소창 검색(dns.olleh.com) 결과로 연결되는 동작을 확인할 수 있습니다.

 

  검색 도우미 : PlusLook (2011.3.16)

 

  검색 도우미 : KTH 열린 주소창 검색 서비스 - KTHOpenSearch (2011.6.23)

 

이 과정에서 이전의 검색 도우미 프로그램에서도 확인된 "ktqooksearch.co.kr" 검색 키워드 관련 도메인을 경유하는 동작을 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : miconsoftOBJ Class

게시자 : IMI

유형 : 브라우저 도우미 개체

CLSID : {C1A91C02-B799-4F73-9F6A-E4A7F06AFCE4}

파일 : C:\Program Files\Miconsoft\miconsoft.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 miconsoft.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 열린 주소창 검색(dns.olleh.com)으로 연결을 시도합니다.

 

그러므로 광고 동작의 중지를 위해서는 우선적으로 웹 브라우저의 추가 기능 관리에 등록된 "miconsoftOBJ Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

  <Right Security Blog> 검색 도우미 : 윈도우시스템(WindowSystem) (2012.2.12)

 

참고로 해당 프로그램에 사용된 게시자(IMI)는 기존의 윈도우시스템(WindowSystem) 검색 도우미 프로그램에서 사용되었으므로 참고하시기 바랍니다. 

또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 miconsoft.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Miconsoft Control management" 삭제 항목을 이용하여 삭제할 수 있습니다. 

만약 기본 검색 공급자를 "검색(search.miconsoft.kr)"으로 변경한 PC 환경에서는 프로그램 삭제 후 Internet Explorer 웹 브라우저를 실행하면 "기본 검색 공급자" 변경과 관련된 창이 생성됩니다.

 

이 경우 반드시 기존의 정상적인 기본 검색 공급자(예, Bing)로 선택을 한 후 "확인" 버튼을 클릭하시기 바랍니다. 

그 후에는 웹 브라우저의 추가 기능 관리를 실행하여 "검색 공급자"에 등록된 "검색" 항목을 선택하여 "제거" 버튼을 클릭하시면 기본 검색 공급자 목록에서 "검색(search.miconsoft.kr)" 항목이 삭제됩니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {사용자 지정 기본 검색 공급자 CLSID} :: 변경 전
 - DefaultScope = {995C497E-9198-4492-BE60-E6B9CF06DD3F} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{995C497E-9198-4492-BE60-E6B9CF06DD3F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C1A91C02-B799-4F73-9F6A-E4A7F06AFCE4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5CC154FA-D681-4080-909C-881220F2E8DC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Miconsoft.miconsoftOBJ
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Miconsoft.miconsoftOBJ.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{223CEB99-EDA3-45F6-A9B5-BA50C8A08955}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1A91C02-B799-4F73-9F6A-E4A7F06AFCE4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Miconsoft = C:\Program Files\Miconsoft\miconsoft.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Miconsoft Control management

 

"HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope" 레지스트리 값은 기본 검색 공급자 변경으로 인한 부분이므로, 사용자가 검색 공급자에서 "검색(search.miconsoft.kr)" 항목을 제거하시면 해결됩니다.

 

해당 프로그램은 마이크로소프트(Microsoft) 관련 프로그램과 이름이 유사하여 사용자가 설치 여부를 제대로 확인하기 어려울 수 있으므로 주의하시기 바랍니다.