본문 바로가기

벌새::Analysis

악성코드 제거 프로그램 : 지백신(gVaccine)

반응형

국내 (주)엔케이솔루션 업체에서 제공하는 유료 악성코드 제거 프로그램 지백신(gVaccine) 제품에 대해 살펴보도록 하겠습니다.

 

[테스트 환경]

 

◆ 운영 체제(OS) : Windows 7 SP1

◆ 설치 파일(MD5) : 545b5eb71e0ab1c171b2deef2a1c8208 - AhnLab V3 : PUP/Win32.GVaccine (VT : 22/46)

 

※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.

※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다.

 

1. 프로그램 설치 및 삭제 정보

 

1-1. 생성 폴더 / 파일 정보

 

C:\Program Files\gvaccine
C:\Program Files\gvaccine\EGutil.dll
C:\Program Files\gvaccine\gvaccine.exe :: 프로그램 실행 파일
C:\Program Files\gvaccine\gvaccinebk.exe
C:\Program Files\gvaccine\gvaccinedata
C:\Program Files\gvaccine\gvaccinestart.exe :: 시작 프로그램(gvaccinestart.exe) 등록 파일, 메모리 상주 프로세스
C:\Program Files\gvaccine\gvaccineu.exe :: 시작 프로그램(gvaccine) 등록 파일
C:\Program Files\gvaccine\sophos :: Sophos 엔진 관련 폴더(정밀 검사용)
C:\Program Files\gvaccine\sophos\ides
C:\Program Files\gvaccine\sophos\sav32cli
C:\Program Files\gvaccine\SpeedBackup
C:\Program Files\gvaccine\uninst_gvaccine.exe :: 프로그램 삭제 파일
C:\Program Files\gvaccine\vcncmndb.dll
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gvaccine
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gvaccine\라이센스.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gvaccine\홈페이지.url
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gvaccine\gvaccine 삭제.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\gvaccine\gvaccine.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\gvaccine\EGutil.dll
 - MD5 : a7100767bcc9bedbc625e795c6ca5b3d
 - AhnLab V3 : PUP/Win32.VaccineToolbar (VT : 27/46)

 

C:\Program Files\gvaccine\gvaccine.exe
 - MD5 : 0b067f7df7810dcf0e63644ca9c9ccbb
 - AhnLab V3 : PUP/Win32.GVaccine (VT : 30/47)

 

C:\Program Files\gvaccine\gvaccinebk.exe
 - MD5 : 3b9e8eb747b6e73646151176262508b0
 - MSE : Rogue:Win32/Onescan (VT : 29/47)

 

C:\Program Files\gvaccine\gvaccinestart.exe
 - MD5 : 8306062bfbcb08a3a1787569fca171bf
 - AhnLab V3 : PUP/Win32.GVaccine (VT : 26/47)

 

C:\Program Files\gvaccine\gvaccineu.exe
 - MD5 : 78516bb5b5f2b45603135b2ee69312a3
 - AhnLab V3 : PUP/Win32.GVaccine (VT : 24/47)

 

C:\Program Files\gvaccine\uninst_gvaccine.exe
 - MD5 : ff88ee71ffac7380fe8d463de984d6f5
 - AhnLab V3 : PUP/Win32.GVaccine (VT : 31/47)

 

지백신(gVaccine) 프로그램은 Windows 시작시 다음의 2개의 시작 프로그램 항목을 등록하여 자동 실행되도록 구성되어 있습니다.

  • gvaccine = C:\Program Files\gvaccine\gvaccineu.exe /8L
  • gvaccinestart.exe = C:\Program Files\gvaccine\gvaccinestart.exe

자동 실행된 프로그램은 원클릭 검사를 통해 악성코드 검사를 진행한 후 자동으로 결제창을 생성하도록 제작되어 있습니다.

또한 시스템 트레이 알림 아이콘 상단에 팝업창을 생성하여 유료 결제를 유도합니다.

사용자가 정밀 검사를 실행할 경우 "C:\Program Files\gvaccine\sophos" 폴더에 Sophos 엔진 관련 파일들을 추가적으로 다운로드하여 검사를 진행합니다.

 

1-2. 생성 레지스트리 정보

 

HKEY_CURRENT_USER\Software\EGN
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - gvaccine_gvaccine = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{91C4C540-9FDD-11D2-AFAA-00105A305A2B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SAVI.SAVI
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SAVI.SAVI.3
HKEY_LOCAL_MACHINE\SOFTWARE\gvaccine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - gewqre = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - gvaccine = C:\Program Files\gvaccine\gvaccineu.exe /8L
 - gvaccinestart.exe = C:\Program Files\gvaccine\gvaccinestart.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
gvaccine

 

1-3. 프로세스 정보

프로그램이 실행되면 gvaccine.exe, gvaccinestart.exe 2개의 프로세스가 생성되며, 사용자가 프로그램을 종료하여도 gvaccinestart.exe 프로세스는 메모리에 상주하도록 구성되어 있습니다.

 

그러므로 프로그램 삭제시에는 프로그램 종료 후 Windows 작업 관리자를 실행하여 gvaccinestart.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

1-4. 관련 URL 정보

  • h**p://*vaccine.co.kr/dbk.php
  • h**p://*vaccine.co.kr/etc/yak_app.htm
  • h**p://*vaccine.co.kr/mbk.php?v1=gvaccine&v2=(사용자 Mac Address)
  • h**p://*vaccine.co.kr/value.php?strMode=setup&strID=gvaccine&strPC=(사용자 Mac Address)|&strSite=*vaccine.co.kr
  • h**p://update.*vaccine.co.kr/version/version
  • h**p://update.*vaccine.co.kr/version/bina/gvaccineu.exe
  • h**p://update.*vaccine.co.kr/version/bina/gvaccine.exe
  • h**p://update.*vaccine.co.kr/version/bina/vcncmndb.dll
  • h**p://update.*vaccine.co.kr/version/bina/uninst_gvaccine.exe
  • h**p://update.*vaccine.co.kr/version/bina/gvaccinebk.exe
  • h**p://update.*vaccine.co.kr/version/bina/gvaccinedata
  • h**p://update.*vaccine.co.kr/version/bina/EGutil.dll
  • h**p://update.*vaccine.co.kr/version/bina/gvaccinestart.exe
  • h**p://update.nk**.co.kr/version/except/excp_com
  • h**p://*vaccine.co.kr/value.php?strMode=run&strID=gvaccine&strPC=(사용자 Mac Address)
  • h**p://*vaccine.co.kr/settle.php?strID=gvaccine&strPC=(사용자 Mac Address)&strSite=
  • h**p://update.nk**.co.kr/version/sophos/engine
  • h**p://update.nk**.co.kr/version/sophos/sav_ides.zip
  • h**p://update.nk**.co.kr/version/sophos/sav32cli.zip

1-5. 프로그램 삭제 정보

프로그램 삭제는 제어판에 등록된 "gvaccine" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

 

2. 제품 유료 결제 해지 방법

 

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

 

(1) 전화 : 1566-6774

(2) 자동 연장 결제 해지 신청 게시판

 

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 1372 소비자상담센터(국번없이 1372)에 민원 접수를 통해 상담하시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 한국인터넷진흥원 118센터(국번없이 118번)를 통해 무료 원격 점검을 받으실 수 있습니다.

728x90
반응형