본문 바로가기

벌새::Analysis

검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain

인터넷 검색시 광고창을 생성하는 검색 도우미 "MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 0292835b085f2ef46f57a651fa96a73b)에 대하여 Kaspersky 보안 제품에서는 not-a-virus:AdWare.Win32.Hebogo.v (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14)

 

  검색 도우미 : Micronames Multi Language Convert Service 2.00 (2011.12.9)

 

또한 해당 프로그램은 기존의 "Micronames Multi Language Convert Service" 검색 도우미 프로그램의 업데이트 버전으로 추정되므로 참고하시기 바랍니다.

 

설치 파일(MD5 : 0292835b085f2ef46f57a651fa96a73b)을 이용하여 "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab" 폴더 내에 "MicroNames Multi Language Convert Service 3.0" 프로그램을 설치하는 과정에서 추가적으로 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe" 파일을 생성합니다. 

  • h**p://www.micro*****.co.kr/Download/GuardSupport.exe (MD5 : d0f70a79f2f4c6074c7ba4c16745385f) - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 4/42)

생성된 GuardConvert.exe 파일은 특정 서버에서 "Windows multi Convert Retain" 프로그램 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe" 파일을 생성하여 사용자 몰래 추가적인 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport :: Windows multi Convert Retain 프로그램 설치 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Conv.exe
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\uninstall.dat
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\Uninstall.exe :: Windows multi Convert Retain 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Uninstall\uninstall.xml

 

C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab :: MicroNames Multi Language Convert Service 3.0 프로그램 설치 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe :: 시작 프로그램(MicroLabCon) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe :: 시작 프로그램(MicroLabProc) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\IRIMG1.JPG
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\IRIMG2.JPG
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\uninstall.dat
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe :: MicroNames Multi Language Convert Service 3.0 프로그
램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\uninstall.xml

 

C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\Conv.exe
 - MD5 : c760a4abce1da9b8758238b19d04baa1
 - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 13/42)

 

C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe
 - MD5 : 34d68f6253ece3b7ed421a68c0a497b7
 - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 19/42)

 

C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardSupport.exe
 - MD5 : d0f70a79f2f4c6074c7ba4c16745385f
 - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 4/42)

 

C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe
 - MD5 : 70b76efed52fe60e668457f3c8ded3c8
 - AhnLab V3 : PUP/Win32.MicroLab (VirusTotal : 14/42)

 

C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe
 - MD5 : b868d72207e6ca7a19807f082413abc8
 - AhnLab V3 : Win-PUP/Helper.MicroLab.773152.B (VirusTotal : 6/42)

 

C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe
 - MD5 : 3fe7c92dba5c9240b4ab0d6a87e6166a
 - nProtect : Adware/W32.KrAdword_Packed.580096 (VirusTotal : 1/42)

  • C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport :: Windows multi Convert Retain 프로그램
  • C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab :: MicroNames Multi Language Convert Service 3.0 프로그램

해당 프로그램들은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내에 각각 생성되며, 사용자는 2개의 프로그램으로 분류되어 설치되는지 제대로 확인하기 어렵습니다.

 

1. "MicroNames Multi Language Convert Service 3.0" 프로그램 

해당 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe" 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되며, MicroProProc.exe 프로세스는 메모리에 상주하도록 구성되어 있습니다. 

이를 통해 인터넷을 이용하는 과정에서 특정 검색 키워드 입력시 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다. 

또한 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 자동으로 연결되는 동작을 확인할 수 있습니다. 

이 과정에서 사용자 몰래 특정 광고 코드(click.intetich.com / click.clickstory.co.kr)를 추가하는 모습을 볼 수 있었습니다.

 

2. "Windows multi Convert Retain" 프로그램 

해당 프로그램은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 GuardConvert.exe 파일은 특정 서버로부터 서버 목록, 폼(Form) 체크, 프로그램 및 IP 정보 등을 확인하며, 이는 "MicroNames Multi Language Convert Service 3.0" 프로그램의 시작 프로그램 체크값과 유사합니다.

 

참고로 "Windows multi Convert Retain" 프로그램은 특별히 광고 동작 등의 추가적인 행위는 확인되지 않고 있습니다. 

광고창 생성 등의 동작은 "MicroNames Multi Language Convert Service 3.0" 프로그램의 MicroProProc.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "MicroNames Multi Language Convert Service", "Windows multi Convert Retain" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.(※ 참고로 "MicroNames Multi Language Convert Service" 프로그램의 삭제 파일을 nProtect 보안 제품에서 악성 파일로 진단하여 삭제된 환경에서는 제어판을 통한 삭제가 이루어지지 않으므로 수동으로 생성 폴더(파일), 레지스트리 값을 참조하여 삭제하시기 바랍니다.)

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport
  • C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab
  • C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin
  • C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common

프로그램 삭제시 사용자가 "MicroNames Multi Language Convert Service" 프로그램만을 삭제한 경우, Windows 시작시 "GuardSupporter" 오류창 생성을 통해 "The language DLL 'vb6ko.dll' could not be found."라는 메시지를 생성합니다.

 

이는 "MicroNames Multi Language Convert Service" 프로그램 삭제 과정에서 "C:\WINDOWS\system32\VB6KO.DLL" 파일이 삭제되는 문제로 인해, Visual Basic으로 제작된 "Windows multi Convert Retain" 프로그램의 시작 프로그램(GuardConvert.exe)이 정상적으로 실행되지 않는 것으로 보입니다. 

"MicroNames Multi Language Convert Service" 프로그램 삭제 이후 "Windows multi Convert Retain" 프로그램을 삭제할 경우 "GuardSupporter" 오류창이 생성되지만 프로그램은 정상적으로 삭제되므로 참고하시기 바랍니다.(※ 해당 오류창을 원치 않는 사용자는 "Windows multi Convert Retain" 프로그램 삭제 이후에 "MicroNames Multi Language Convert Service" 프로그램을 삭제하시는 것도 방법입니다.)

 

[생성 레지스트리 등록 정보 : Windows multi Convert Retain 프로그램]

 

HKEY_CURRENT_USER\Software\GuardSupport
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - GuardSupport = C:\Documents and Settings\(사용자 계정)\Application Data\GuardSupport\GuardConvert.exe -ScLLykL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - GuardSupport = %ApplicationDataFolder%\GuardSupport\GuardConvert.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows multi Convert Retain3.0

 

[생성 레지스트리 등록 정보 : MicroNames Multi Language Convert Service 프로그램]

 

HKEY_CURRENT_USER\Software\MicroLab
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MicroLabCon = C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe -LfWMalTTG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MicroLabProc = C:\Documents and Settings\(사용자 계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe -LfWMalTTG
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicroNames Multi Language Convert Service3.0

 

이들 프로그램 이름으로는 사용자가 광고창을 생성하는 프로그램으로 생각하기 어렵다는 점에서 사용자의 삭제를 회피하려는 의도가 다분해 보이며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

  • 지나가던이 2012.10.25 19:55 댓글주소 수정/삭제 댓글쓰기

    재시작시 해당 프로그램이 다시 생성될 것으로 보여 레지스트리를 제거하려고 하는데, 글 하단 생성 레지스트리를 모두 제거해야 하나요?

    • 제어판을 통한 삭제 이후에 해당 레지스트리 값이 존재할 경우에 삭제하시기 바랍니다.

      특히 붉은색 부분은 상위 레지스트리 값은 삭제하지 마시기 바랍니다.

  • 지나가던선비 2012.10.28 10:39 댓글주소 수정/삭제 댓글쓰기

    좋은정보 감사합니다..

    이녀석이 계속 생성되느라 골치아팠는데 덕분에 영구삭제 했네요

  • 유진 2012.11.19 21:23 댓글주소 수정/삭제 댓글쓰기

    이놈 때문에 2달 가까이 골머리를 썩었어요.
    구글링까지 동원해가며 찾아봐도 이렇다할 해답이 없어 반포기 상태였는데
    별새님 블로그를 지금이라도 알게 되어 정말 다행이예요!
    너무 감사합니다!
    자주 들를게요:)

  • ㅎㅎ 2012.12.12 14:44 댓글주소 수정/삭제 댓글쓰기

    감사합니다. ^^

  • ^_^ 2012.12.20 10:50 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다^^ Microlab을 몇 번이나 지워도 계속 생기더니...Guardsupport까지 지워야 하는 건 모르고 있었네요ㅜㅜ

  • 제거하려고 노력하던 이 2013.01.18 22:22 댓글주소 수정/삭제 댓글쓰기

    진짜 감사해요...

    이거 없애려고 검색을 얼마나 하고 별의 별 블로그 보고 따라해도 별 소용 없더니

    님 블로그 보면서 따라했더니 말끔히 없애졌네요...

    자주 찾아뵐께요 감사해요 :)

  • 광고안녕 2013.01.27 14:21 댓글주소 수정/삭제 댓글쓰기

    정말 상세하고 큰 도움이 되는 글인것 같습니다.
    감사합니다^^

  • 저기 2013.02.03 18:23 댓글주소 수정/삭제 댓글쓰기

    윈도우즈 7에선 documents and settings가 없는데 어떡하죠 ;

  • run 2013.02.20 12:00 댓글주소 수정/삭제 댓글쓰기

    고맙습니다. 그렇게 안지워지더니, 프로세스에서 microproproc 찾아서 수동으로 지우고, 폴더 검색 들어가서 폴더들을 지운 다음에 재부팅 했더니 드디어 제어판 목록에 안뜨네요.
    그 전에는 계속 지우고 지워도 다시 뜨더니 ㅠㅠ 진작에 폴더를 지웠어야 했는데 무서웠네요. ㅎㅎ
    고맙습니다. 덕분에 박멸했습니다!!! 복받으셔요! ㅠㅠ

  • rkatk 2013.04.16 01:39 댓글주소 수정/삭제 댓글쓰기

    웬만하면 글 안남기는데요, 님은 컴 고수이신가요??? 존경스럽네요 ㅜ
    지긋지긋한 스트레스를 벗어나게 해주셔서 감사해요^^

  • 아 저는 잘 모르겟어요ㅜㅜㅜㅜ아무리 찾아도 없는것 같은대 계속 광고사이트가 뜨네요..

    • 광고 프로그램으로 고생하신다면 http://hummingbird.tistory.com/notice/4859 링크 내용을 참고하여 run 파일을 제작하여 이메일로 보내주시면 봐 드리겠습니다.

  • 감사합니다. 분명히 지워도 계속 광고창이 떠서 스트레스였는데 확실히 없어졌네요!

  • ddq 2013.10.08 14:50 댓글주소 수정/삭제 댓글쓰기

    우와!!! 넘 감사해요 ㅠㅠㅠㅠㅠㅠ

  • ㅠㅠ 2013.12.03 12:20 댓글주소 수정/삭제 댓글쓰기

    저는 프로그램 추가제거에 뜨지도 않던데 어떻게해야하나요?ㅠ

    프로세스중지시키고 폴더지웠는데도 재부팅하면 계속 실행되요

    • 일부 유포 파일의 경우 설치될 때 제어판에 등록하지 않는 것으로 알고 있습니다.

      하지만 해당 프로그램의 폴더를 살펴보면 프로그램 삭제 파일이 함께 포함되어 있는 것 같습니다.

      그러므로 폴더 내의 Uninstall.exe 파일을 찾아서 직접 실행해 보시기 바랍니다.

  • 새옹지마 2014.04.24 13:14 댓글주소 수정/삭제 댓글쓰기

    전 c드라이브에 들어가니 Documents and Settings 이 안보이고,program file program file(x86)만 나와서 어떻게 할지를 모르겠습니다.일본 사이트 한번 갔다고 음란광고(팝업광고?)가 계속 뜨길래 님 블로그를 보고 따라하려고 해도 잘 안되니 그냥 프로세스 클린을 다운 받아 실행하고 있습니다.프로세스 클린 실행을 안하고 삭제하는 방법 좀 가르쳐 주세요.

    • 이 프로그램이 설치되어 있는게 분명한지 의문입니다. 그리고 말씀하신 폴더는 64비트 환경이며 Windows 7 또는 8 운영 체제 같습니다.

      이 분석글은 Windows XP 기준으로 작성되어 내용이 다를 수 있습니다. 더 자세한 삭제 방법이 궁금하시면 http://hummingbird.tistory.com/notice/4859 내용을 참고하여 문의해 주시기 바랍니다. 감사합니다.