본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : MSSafeFilter 3.0

반응형

마이크로소프트(Microsoft)에서 제공하는 웹 브라우저 보안 기능인 "SmartScreen 필터"와 유사한 이름으로 등록하여 차후 수익성 프로그램의 설치를 유도할 것으로 추정되는 "MSSafeFilter 3.0" 프로그램(MD5 : 8b0fe0afca6c614aaf8c781957ac888b)에 대해 살펴보도록 하겠습니다.

 

프로그램의 설치 과정에서는 "C:\Program Files\MSSafeFilter 3.0\msfext.exe" 파일(MD5 : bc27e5b70dd103e39b7ea6fc98161dd4)을 생성하며 프로그램을 설치한 후 자가 삭제 처리가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\MSSafeFilter 3.0
C:\Program Files\MSSafeFilter 3.0\msfctrl.exe :: 메모리 상주 프로세스
C:\Program Files\MSSafeFilter 3.0\msfsvc.exe :: 서비스(msfsvc32) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\MSSafeFilter 3.0\msfsvp.exe
C:\Program Files\MSSafeFilter 3.0\msSafeFilter.dll
C:\Program Files\MSSafeFilter 3.0\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\MSSafeFilter 3.0" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 확인할 수 있습니다.

"msfsvc32(MSSafeFilter 3.0)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\MSSafeFilter 3.0\msfsvc.exe" 파일을 자동 실행하며, 실행된 파일은 일정 시간(2분 15초) 대기를 합니다.

일정 시간이 경과하면 자동으로 "C:\Program Files\MSSafeFilter 3.0\msfctrl.exe" 파일을 로딩하는 동작을 확인할 수 있습니다.

이를 통해 특정 업데이트 서버와 통신을 시도하며, 만약 추가적인 프로그램이 등록되어 있을 경우 설치 유도 행위가 있을 것으로 추정됩니다.(※ 프로그램 설명에서는 광고 프로그램으로 소개되어 있지만 광고 동작은 확인되지 않고 있습니다.)

프로그램 삭제시에는 실행창에 [sc stop "msfsvc32"] 명령어를 입력하여 서비스를 중지한 후, Windows 작업 관리자를 실행하여 msfctrl.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "MSSafeFilter 3.0" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
 - ism = 20130425
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MSSafeFilter 3.0
HKEY_LOCAL_MACHINE\SOFTWARE\MSSafeFilter 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSFSVC32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msfsvc32

해당 프로그램의 이름(MSSafeFilter 3.0)은 마이크로소프트(Microsoft) 관련 프로그램처럼 등록되어 있지만 디지털 서명에서는 "mediabiz Inc."로 서명되어 있으므로 혼동하지 않도록 주의하시기 바랍니다.

 

 

728x90
반응형