즐겨찾기와 명령 모음에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘 추가 및 인터넷 검색시 후팝업 광고창을 생성하는 검색 도우미 "mxwho Control" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 33bb54e85bc470e9070ac09b4d3d9fba)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Shortcut.Mxwho.586648 (VirusTotal : 29/46) 진단명으로 진단되고 있습니다.
배포용 설치 파일이 실행되면 특정 업데이트 서버로부터 "mxwho Control" 프로그램 설치 파일(MD5 : 1f043a7e4bfb8ed09be39d24a789e15c)을 받아오며, 해당 설치 파일은 현재 24종이 등록되어 있는 것으로 확인되고 있습니다.
다운로드된 파일은 "C:\Documents and Settings\All Users\Documents\mxwho_06.exe" 파일로 생성되어 프로그램을 설치한 후 자가 삭제되도록 구성되어 있습니다.
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\clmxwho.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\img
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\img\11.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\img\a.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\img\g.ico
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\mxwho.exe :: 시작 프로그램(mxwho) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\upmxwho.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\upmxwho.exe :: 시작 프로그램(upmxwho) 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\11번가 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 이동.URL
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 이동.URL
해당 프로그램은 마이크로소프트(Microsoft) 폴더 내부에 "C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho" 폴더를 생성하여 Windows 관련 프로그램(파일)처럼 사용자의 눈을 속이고 있습니다.
프로그램이 설치된 환경에서는 Windows 시작시 mxwho.exe, upmxwho.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 upmxwho.exe 파일은 특정 서버로부터 업데이트 정보를 받아오는 기능을 수행하며, 추가적으로 mxwho.exe 파일을 로딩하여 메모리에 상주하도록 되어 있습니다.
프로그램이 설치된 환경에서는 즐겨찾기와 명령 모음에 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기 아이콘이 등록되어 있는 것을 확인할 수 있습니다.
해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접근할 경우 특정 광고 코드(cl.ilikeclick.com)가 추가되도록 등록되어 있습니다.
이름 : G마켓 이동
유형 : 브라우저 확장
CLSID : {000000A1-CA93-46BB-9D4A-DBD498CB8944}
이름 : 옥션 이동
유형 : 브라우저 확장
CLSID : {000000A2-F93E-4C0B-87D5-490AEF45ADD3}
이름 : 11번가 이동
유형 : 브라우저 확장
CLSID : {000000A3-57A6-49EA-B96B-1428070E5924}
명령 모음에 등록된 인터넷 쇼핑몰 바로가기 아이콘은 웹 브라우저의 추가 기능 관리에 등록된 "G마켓 이동, 옥션 이동, 11번가 이동" 항목들을 선택하여 "사용 안 함"으로 변경하시면 등록이 해제됩니다.
추가적으로 메모리에 상주하는 mxwho.exe 파일은 사용자가 특정 상업적 웹 사이트를 방문하는 과정에서 광고 코드가 추가되도록 제작되어 있으며, 일반적으로 웹 사이트 방문 후 종료시 후팝업 방식으로 광고창이 생성될 수 있습니다.
해당 광고 동작은 메모리에 상주하는 mxwho.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mxwho.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "mxwho Control" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A1-CA93-46BB-9D4A-DBD498CB8944}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A2-F93E-4C0B-87D5-490AEF45ADD3}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions\{000000A3-57A6-49EA-B96B-1428070E5924}
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow
- mx = 1
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\mxwho
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- mxwho = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\mxwho.exe
- upmxwho = C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\mxwho\upmxwho.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mxwho_is1
"mxwho Control" 프로그램 관련 파일에서는 "Gongkam" 디지털 서명이 포함되어 있으며, 이와 연관된 유사 프로그램이 기존부터 다수 발견되고 있습니다.
▶ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
▷ [삭제] Windowsoffice (2013.1.2)
▷ [삭제] Microsofts Winsrv64 (2013.1.3)
▷ 검색 도우미 : Window Popmulticare (2013.1.15)
특히 마이크로소프트(Microsoft) 관련 프로그램처럼 위장하여 설치되는 경향이 강하므로 주의하시기 바랍니다.