울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Reflection Service - rimirnmums.exe (2013.11.7)

벌새::PUP Info

 

최근 국내에서 제작되어 유포되는 광고 프로그램 중 설치 조건을 체크하는 것으로 추정되는 "Windows Reflection Service" 검색 도우미 프로그램에 대한 정보를 일부 공개해 드리도록 하겠습니다.

Windows Reflection Service 프로그램은 다양한 배포 방식으로 전파가 이루어지고 있지만, 그 중에서도 Windows Fix Errors, Windows User Configure for PC와 같은 배포용 프로그램을 통해 설치가 이루어지는 것으로 추정됩니다.

 

  국내 악성코드 : INSafe mode (2013.9.26)

 

  네이버 지식인 답변글을 이용한 제휴 프로그램 유포 주의 (2013.9.27)

 

이미 2013년 9월경 확인된 INSafe mode, Utility Folder와 같은 프로그램을 설치하여 추가적인 제휴 프로그램을 통해 "Windows Reflection Service" 프로그램이 다운로드되어 설치가 이루어지는 것으로 판단됩니다.

 

즉, 사용자 PC에 Windows Fix Errors, Windows User Configure for PC 프로그램이 설치되어 있다면 이들 프로그램을 통해 특정 시점에서는 추가적인 제휴 프로그램 설치가 이루어질 수 있다고 볼 수 있습니다.

 

 "Windows Fix Errors" 변종 프로그램 정보

 

참고로 해당 프로그램 정보는 추가적인 검증을 위한 정보 확인이 이루어지지 않은 관계로 부정확할 수 있습니다.

 

파일 경로

 C:\Windows\irsmumnir.exe

MD5

 268FF45805B5B3AFA8AAF88248486BB5

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

파일 설명

 irsmumnir.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irsmumnir

비고

 서비스(irsmumnir) 등록 파일

 

Windows Fix Errors 프로그램은 "irsmumnir" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\irsmumnir.exe" 파일을 자동 실행하도록 구성되어 있으며, 특정 서버에 접속하여 추가적인 정보를 체크할 것으로 추정됩니다.

 

이를 통해 특정 시점에서는 업데이트 창 등을 생성하여 제휴 프로그램 설치를 유도할 수 있을 것 같으며, 대표적으로 "Windows Reflection Service" 프로그램을 추가적으로 설치하는데 이용될 것으로 판단됩니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Windows Fix Errors" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제가 이루어지지 않는 경우에는 다음과 같은 방식으로 삭제하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"을 선택하여 생성된 명령 프롬프트 창에 [sc delete "irsmumnir"] 명령어 입력 및 실행을 하시면 자동으로 서비스 레지스트리 값이 삭제됩니다.

(b) 그 후 Windows 탐색기를 실행하여 "C:\Windows\irsmumnir.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"Windows User Configure for PC" 변종 프로그램 정보

 

파일 경로

 C:\Windows\rismumnri.exe

MD5

 18C417BE2C89F9C118EEE622128B9CA2

디지털 서명

 INSAFE

파일 설명

 rismumnri.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rismumnri

비고

 서비스(rismumnri, 표시 이름 : User Configure for Windows) 등록 파일

 

Windows User Configure for PC 프로그램은 "rismumnri" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\rismumnri.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통한 특정 서버로부터 추가적인 정보를 체크할 수 있습니다.

 

Windows User Configure for PC 프로그램은 위에서 소개한 Windows Fix Errors 프로그램과 유사한 기능을 가지고 있으며, 이를 통해 "Windows Reflection Service" 프로그램과 같은 제휴 프로그램을 설치할 가능성이 있을 것으로 추정됩니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Windows User Configure for PC" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램이 삭제되지 않는 경우에는 다음과 같은 방식으로 삭제하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"을 선택하여 생성된 명령 프롬프트 창에 [sc delete "rismumnri"] 명령어를 입력 및 실행하면 등록된 서비스 레지스트리 값을 자동 삭제할 수 있습니다.

(b) 그 후 Windows 탐색기를 실행하여 "C:\Windows\rismumnri.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"Windows Reflection Service" 변종 프로그램 정보

 

Windows Reflection Service 프로그램은 기본적으로 광고창 생성 기능을 가진고 있는 것으로 보이며, 다양한 변종 프로그램을 통해 프로그램 이름이 변경되어 배포되는 것으로 추정됩니다.(※ "Reflection Information Client x86" 프로그램 이름으로 설치될 수 있습니다.)

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfo.exe

MD5

 6AE9C0EC6D2B92DF9EBDC058F9D9D668

디지털 서명

 INSAFE

파일 설명

 reflectioninfo.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfos.exe

MD5

 204AC8B0C668DE405632258B8C85C6ED

디지털 서명

 INSAFE

파일 설명

 reflectioninfos.exe

비고

 예약 작업(rissmumnri.job) 등록 파일

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfou.exe

MD5

 12370168DEFC8E3DC181372A1A5018BF

디지털 서명

 INSAFE

파일 설명

 reflectioninfou.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  - REFLECTIONS

비고

 시작 프로그램(REFLECTIONS) 등록 파일

 

파일 경로

 C:\PROGRA~1\INFORM~1\REFLEC~4.EXE

MD5

 12370168DEFC8E3DC181372A1A5018BF

디지털 서명

 INSAFE

시작 프로그램

폴더 등록값

 C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~4.EXE

 비고

 시작 프로그램 폴더 등록 파일(= reflectioninfou.exe)

 

파일 경로

 C:\Windows\rimirnmums.exe

MD5

 05265B582653705DF6964CE17D6BFFC2

디지털 서명

 INSAFE

파일 설명

 rimirnmums.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rimirnmums

비고

 서비스(rimirnmums, 표시 이름 : Reflect Service Client) 등록 파일

 

파일 경로

 C:\Windows\system32\drivers\reflectioninfo.sys

MD5

 4E661F7537CBFBE0F8B2C7A02A329519

디지털 서명

 INSAFE

파일 설명

 reflectioninfo.sys

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\reflectioninfo

비고

 서비스(reflectioninfo) 드라이버 등록 파일

 

Windows Reflection Service 프로그램은 "C:\Program Files\Information Reflection" 폴더 및 Windows 폴더 내에 관련 파일을 생성하며, Windows 시작시 프로그램이 자동 실행될 수 있도록 다양한 위치에 등록하는 부분이 인상적입니다.

  1. 예약 작업 : 작업 스케줄러에 rissmumnri.job 값을 등록하여 reflectioninfos.exe 파일이 자동 실행되도록 구성되어 있습니다.
  2. 시작 프로그램 : Windows 시작시 REFLECTIONS 시작 프로그램 등록값을 등록하여 reflectioninfou.exe 파일을 자동 실행하여 업데이트 체크를 하는 것으로 보입니다.
  3. 시작 프로그램 폴더 : "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" 폴더에 "C:\PROGRA~1\INFORM~1\REFLEC~4.EXE" 파일(= reflectioninfou.exe)을 등록하여 Windows 시작시 자동 실행되어 업데이트 체크를 수행하는 것으로 보입니다.
  4. 서비스 등록 : "rimirnmums (표시 이름 : Reflect Service Client)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\rimirnmums.exe" 파일을 자동 실행하도록 구성되어 있습니다.

또한 특이한 점은 "C:\Windows\system32\drivers\reflectioninfo.sys" 시스템 드라이버를 등록하여 루트킷(Rootkit) 방식으로 광고 프로그램을 동작하게 하고 있습니다.


"Windows Reflection Service" 프로그램의 변종에 따라서는 "C:\Windows\rimirnmums.exe" 파일명 및 서비스 등록값이 다양한 이름으로 변경되어 설치되고 있습니다.

 

프로그램 삭제는 제어판에 등록된 "Windows Reflection Service" 또는 "Reflection Information Client x86" 삭제 항목을 통해 삭제할 수 있도록 지원하고 있지만, 일부 파일이 정상적으로 삭제되지 않는 문제가 발생할 수 있으므로 다음과 같은 수동 삭제 방법도 참고하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 reflectioninfo.exe 프로세스를 찾아 "프로세스 끝내기"를 하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"을 선택하여 생성된 명령 프롬프트 창에 [sc delete "rimirnmums"] 명령어와 [sc delete "reflectioninfo"] 명령어를 차례로 입력 및 실행하여 등록된 서비스 레지스트리 값을 삭제할 수 있습니다.

(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Information Reflection
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~(숫자).EXE
  • C:\Windows\rimirnmums.exe
  • C:\Windows\system32\drivers\reflectioninfo.sys
  • C:\Windows\Tasks\rissmumnri.job

파일 삭제시 정상적으로 삭제되지 않는 경우에는 안전 모드(F8)로 Windows 부팅을 통해 삭제를 시도해 보시기 바라며, 특히 reflectioninfo.sys 파일 삭제시 블루스크린(BSoD) 등의 문제가 발생하는 경우에는 추가적으로 GMER 툴을 이용해 보시기 바랍니다.

GMER 프로그램을 실행하여 "Files" 탭을 선택하여 "C:\Windows\system32\drivers\reflectioninfo.sys" 파일을 찾아 선택한 후 우측 상단의 "Delete" 버튼을 클릭하여 삭제할 수 있습니다.


(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - REFLECTIONS

위와 같이 "Windows Reflection Service" 광고 프로그램은 Windows Fix Errors 또는 Windows User Configure for PC 프로그램과 같은 배포 프로그램으로 설치가 이루어질 가능성이 높으며, 이들 프로그램의 중요 특징 중에는 "INSAFE" 디지털 서명을 사용한다는 점입니다.

 

또한 Windows 관련 프로그램처럼 이름을 등록하는 배포용 프로그램(Windows Fix Errors, Windows User Configure for PC)의 파일 속성값에서는 마치 금융권 보안 솔루션 INISAFE Web과 유사한 "INISafe"를 사용한다는 점에서 상당히 이들 계열의 프로그램은 불량합니다.

 

비록 보안 제품에서는 상당수 진단이 이루어지지 않는 문제로 사용자가 직접 프로그램을 찾아 삭제해야 할 것으로 보이므로, 이런 프로그램이 설치되지 않도록 신뢰할 수 없는 파일을 다운로드하여 함부로 실행하는 일이 없도록 각별히 주의하시기 바랍니다.