울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Reflection Service - rimirnmsnon.exe (2013.11.19)

벌새::PUP Info

 

국내에서 제작된 광고 프로그램 중 교묘한 방식으로 설치되어 인터넷 쇼핑몰 광고창 등을 자동으로 생성하는 "Windows Reflection Service" 프로그램은 다양한 변종이 지속적으로 유포되고 있는 것으로 보입니다.

 

  검색 도우미 : Windows Reflection Service - rimirnmums.exe (2013.11.7)

 

  검색 도우미 : Windows Reflection Service - rimirpnvup.exe (2013.11.8)

이렇게 설치되는 "Windows Reflection Service" 프로그램의 배포 방식 중 대표적으로 "Windows User Configure for PC" 프로그램이 사전에 설치된 환경에서 추가적인 제휴 프로그램으로 "Windows Reflection Service" 프로그램을 설치하는 것으로 보입니다.

 

이 글에서는 새롭게 확인된 "Windows User Configure for PC" 변종 프로그램과 해당 프로그램을 통해 추가적으로 설치될 수 있는 "Windows Reflection Service" 프로그램의 파일 정보 및 수동 삭제 방법을 살펴보도록 하겠습니다.

 

"Windows User Configure for PC" 프로그램 정보

 

  국내 악성코드 : INSafe mode (2013.9.26)

 

  네이버 지식인 답변글을 이용한 제휴 프로그램 유포 주의 (2013.9.27)

 

해당 프로그램은 다양한 광고 프로그램 배포 목적으로 제작된 것으로 보이며, INSafe mode, Utility Folder, Windows Fix Errors, Windows AutoFix 등의 다양한 변종 프로그램이 존재하는 것으로 보입니다.

 

파일 경로

 C:\Windows\rinonsmnri.exe

MD5

 1E7F0C3706EF09F98BA3C54A43477698

디지털 서명

 INSAFE

파일 설명

 rinonsmnri.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rinonsmnri

비고

 서비스(rinonsmnri) 등록 파일

 

"Windows User Configure for PC" 프로그램은 "rinonsmnri" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\rinonsmnri.exe" 파일을 자동 실행하도록 구성되어 있으며, 특정 시점에서 업데이트 창 등을 통해 사용자를 기만하여 불필요한 프로그램(PUP)을 설치하도록 제작된 것으로 보입니다.

 

특히 프로그램 이름(Windows User Configure for PC)을 Windows 관련 프로그램처럼 등록하여 사용자가의 눈을 피하고 있기에 제어판에서 삭제를 지원하지만 쉽게 찾을 수 없도록 한 점이 특징입니다.

프로그램을 찾아 직접 삭제해야 할 경우에는 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rinonsmnri"] 명령어 입력 및 실행을 통해 서비스 등록값을 삭제한 후 파일(C:\Windows\rinonsmnri.exe)을 찾아 삭제하시면 됩니다.

 

"Windows Reflection Service" 변종 프로그램 정보

 

"Windows Reflection Service" 프로그램은 제어판 등록 이름과 설치 폴더(C:\Program Files\Information Reflection)는 동일한 이름을 사용하고 있지만, 서비스 파일명을 지속적으로 변경하여 다양한 변종 프로그램을 유포하고 있는 것을 확인되고 있습니다.

 

특히 프로그램이 생성한 서비스 드라이버 파일(C:\Windows\system32\drivers\reflectioninfo.sys)을 직접 삭제시 블루 스크린(BSoD) 발생 등의 문제를 유발할 수 있는 불량한 프로그램으로 보입니다.

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfos.exe

MD5

 DCA3565F28D70311328F9BC3D499DCBB

디지털 서명

 INSAFE

파일 설명

 reflectioninfos.exe

비고

 예약 작업(risnonsmnri.job) 등록 파일

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfou.exe

MD5

 AD74A8FDC51A11A3F9F968060028F223

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

파일 설명

 reflectioninfou.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  - REFLECTIONS

비고

 시작 프로그램(REFLECTIONS) 등록 파일

 

파일 경로

 C:\PROGRA~1\INFORM~1\REFLEC~4.EXE

MD5

 AD74A8FDC51A11A3F9F968060028F223

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

시작 프로그램

폴더 등록값

 C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~4.EXE

비고

 시작 프로그램 폴더 등록 파일(= reflectioninfou.exe)

 

파일 경로

 C:\Windows\rimirnmsnon.exe

MD5

 A7A359269E4E0B56C8EB88AE4001B29B

디지털 서명

 INSAFE

파일 설명

 rimirnmsnon.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rimirnmsnon

비고

 서비스(rimirnmsnon, 표시 이름 : Reflect Service Client) 등록 파일

 

파일 경로

 C:\Windows\System32\drivers\reflectioninfo.sys

MD5

 BFEBFF7430B83FAEE776F31C984B0097

디지털 서명

 INSAFE

파일 설명

 reflectioninfo.sys

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\reflectioninfo

비고

 서비스(reflectioninfo) 드라이버 등록 파일

 

※ 참고로 이번에 수집된 정보에서는 메모리에 상주하여 광고 기능을 수행하는 "C:\Program Files\Information Reflection\reflectioninfo.exe" 파일에 대한 정보는 제외되어 있습니다.

 

"Windows Reflection Service" 프로그램은 "C:\Program Files\Information Reflection" 폴더에 파일을 생성하며, Windows 시작시 다양한 방식으로 프로그램을 자동 실행하도록 등록되어 있는 것이 특징입니다.

  1. 예약 작업에 "risnonsmnri" 작업 스케줄러를 등록하여 "C:\Program Files\Information Reflection\reflectioninfos.exe" 파일을 자동으로 실행합니다.
  2. 시작 프로그램(Run) 레지스트리 값에 "C:\Program Files\Information Reflection\reflectioninfou.exe" 파일을 등록하여 업데이트 체크를 수행합니다.
  3. 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)에 REFLEC~(숫자).EXE 파일(= reflectioninfou.exe)을 등록하여 자동 실행되어 업데이트 체크를 수행합니다.
  4. "rimirnmsnon" 서비스 항목을 등록하여 "C:\Windows\rimirnmsnon.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 최종적으로 "C:\Program Files\Information Reflection\reflectioninfo.exe" 파일을 메모리에 상주하여 사용자가 인터넷 검색을 수행하는 과정에서 다양한 광고창을 반복적으로 생성하여 수익을 내는 구조로 보입니다.


또한 "Windows Reflection Service" 프로그램은 변종에 따라 "C:\Windows" 폴더 내에 생성되는 서비스 파일명 및 서비스 등록값이 다양한 이름으로 생성될 수 있습니다.


기본적으로 프로그램 삭제는 제어판에 등록된 "Windows Reflection Service" 삭제 항목을 이용하여 삭제할 수 있지만, 깨끗한 삭제를 원하는 경우에는 다음의 절차를 따르시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 reflectioninfo.exe 프로세스를 찾아 "프로세스 끝내기"를 하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rimirnmsnon] 명령어를 입력 및 실행한 후 [sc delete "reflectioninfo"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Information Reflection
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\REFLEC~(숫자).EXE
  • C:\Windows\rimirnmsnon.exe
  • C:\Windows\System32\drivers\reflectioninfo.sys
  • C:\Windows\Tasks\risnonsmnri.job

참고로 "C:\Windows\System32\drivers\reflectioninfo.sys" 드라이버 파일 삭제시 블루스크린(BSoD) 등의 문제가 발생할 경우에는 GMER 도구를 이용하여 "Files" 탭에서 해당 파일을 찾아 선택한 후 "Delete" 버튼을 실행하여 삭제하시기 바랍니다.(※ 파일 삭제시 안전 모드(F8)에서 진행하시길 권장합니다.)


(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - REFLECTIONS

"Windows Reflection Service" 프로그램은 다양한 변종 프로그램(※ Reflection Infomation Client x86)이 유포되고 있는 것으로 추정되며, 이런 프로그램은 대부분 사용자가 화면을 살피지 않는 잘못된 습관을 교묘하게 이용하여 설치가 된다는 점에서 사용자가 조금만 더 화면을 꼼꼼하게 살피는 습관이 필요합니다.