울지않는벌새 : Security, Movie & Society

검색 도우미 : Reflection Information Client x86 - ripmqmnri.exe (2013.11.25)

벌새::PUP Info

 

국내에서 제작된 광고 프로그램 중 "Windows Reflection Service" 프로그램과 동일한 폴더명을 사용하여 수익 활동을 하는 "Reflection Information Client x86" 검색 도우미 프로그램에 대한 정보가 수집되어 파일 정보를 공개해 드립니다.

 

  검색 도우미 : Windows Reflection Service - rimirnmums.exe (2013.11.7)

 

  검색 도우미 : Windows Reflection Service - rimirpnvup.exe (2013.11.8)

 

  검색 도우미 : Windows Reflection Service - rimirnmsnon.exe (2013.11.19)

 

우선 Windows Reflection Service, Reflection Information Client x86 프로그램을 사용자 PC에 설치하기 위해 활용되는 배포용 프로그램 "Windows AutoFix"에 대한 새로운 정보를 먼저 살펴보도록 하겠습니다.

 

기존글에서 언급한 "Windows Reflection Service" 프로그램 정보에서 소개한 배포용 프로그램(INSafe mode, Utility Folder, Windows User Configure for PC, Windows Fix Errors)의 변종 프로그램이므로 참고하시기 바랍니다.


"Windows AutoFix" 변종 프로그램 정보


파일 경로

 C:\Windows\nvpmqmnnv.exe

MD5

 F3F835326E4C195019BE48F726860E0C

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

파일 설명

 nvpmqmnnv.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvpmqmnnv

비고

 서비스(nvpmqmnnv) 등록 파일

 

"Windows AutoFix" 프로그램은 "nvpmqmnnv" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\nvpmqmnnv.exe" 파일을 자동 실행하여 추가적인 프로그램 설치를 시도할 수 있을 것으로 추정됩니다.

 

프로그램 삭제는 제어판에 등록된 "Windows AutoFix" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 삭제하기 위해서는 다음과 같은 절차를 이용하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 [sc delete "nvpmqmnnv"] 명령어를 입력 및 실행하여 서비스 등록값을 삭제할 수 있습니다.

(b) 그 후 "C:\Windows\nvpmqmnnv.exe" 파일을 찾아 삭제하시기 바랍니다.


"Reflection Information Client x86" 변종 프로그램 정보

 

위에서 살펴본 "Windows AutoFix"와 같은 다양한 변종 배포용 프로그램을 통해 최종적으로 "Reflection Information Client x86" 또는 "Windows Reflection Service" 검색 도우미 프로그램과 같은 광고 프로그램을 설치하며, 해당 광고 프로그램 역시 동일한 폴더(파일)를 사용하면서 프로그램 이름은 다양하게 등록하는 변칙적인 배포가 이루어지고 있습니다.

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfo.exe

MD5

 4B752894FDAFF3A4C920E2E5BC08D836

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

파일 설명

 reflectioninfo.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfos.exe

MD5

 7173AEFED5EB3FF37C82F5B07838D80A

디지털 서명

 INSAFE

파일 설명

 reflectioninfos.exe

비고

 예약 작업(C:\Windows\Tasks\rispmqmnri.job) 등록 파일

 

파일 경로

 C:\Program Files\Information Reflection\reflectioninfou.exe

MD5

 66CA67FD304C08483091128BE7A19243

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

파일 설명

 reflectioninfou.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - REFLECTIONS

비고

 시작 프로그램(REFLECTIONS) 등록 파일

 

파일 경로

 C:\Windows\ripmqmnri.exe

MD5

 11F0D7538D75C0785E86EE65CB3A042C

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

파일 설명

 ripmqmnri.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute

 - ripmqmnri.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ripmqmnri

비고

 Boot Execute(ripmqmnri.exe) 등록 파일, 서비스(ripmqmnri) 등록 파일

 

파일 경로

 C:\Windows\system32\drivers\reflectioninfo.sys

MD5

 D312A8B9FC9B9FDFEB7C7B94639E60FB

디지털 서명

 INSAFE

파일 설명

 reflectioninfo.sys

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\reflectioninfo

비고

 서비스(reflectioninfo) 드라이버 등록 파일

 

"Reflection Information Client x86" 검색 도우미 프로그램은 "Windows Reflection Service" 프로그램과 동일한 "C:\Program Files\Information Reflection" 폴더에 파일을 생성하며, 시스템 시작시 다양한 위치에서 프로그램이 자동 실행되도록 등록하고 있습니다.

 

생성 파일 모두는 INSAFE 디지털 서명을 포함하고 있으며, 서비스에 등록된 "C:\Windows\ripmqmnri.exe" 파일은 변종에 따라 다양한 파일명과 서비스 등록값을 가질 수 있습니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Reflection Information Client x86" 삭제 항목을 통해 삭제를 지원하고 있으며, 사용자에 의한 프로그램 삭제를 위해서는 다음과 같은 절차를 따르시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 reflectioninfo.exe 프로세스를 찾아 "프로세스 끝내기"를 실행하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ripmqmnri"][sc delete "reflectioninfo"] 명령어를 순서대로 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 삭제하시기 바랍니다.

  • C:\Program Files\Information Reflection
  • C:\Windows\ripmqmnri.exe
  • C:\Windows\Tasks\rispmqmnri.job
  • C:\Windows\system32\drivers\reflectioninfo.sys

참고로 "C:\Windows\system32\drivers\reflectioninfo.sys" 드라이버 파일 삭제시 블루스크린(BSoD) 발생 또는 파일 삭제가 되지 않는 경우에는 GMER 도구를 이용하여 "Files" 메뉴에서 파일을 찾아 "Delete" 버튼을 클릭하여 삭제하시기 바랍니다.


(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - REFLECTIONS


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\BootExecute

 - ripmqmnri.exe

Windows Reflection Service, Reflection Information Client x86 광고 프로그램은 다양한 변종 프로그램을 통해 지속적으로 사용자 PC에 설치되어 공격적인 광고창 생성 등의 행위로 돈벌이를 시도하고 있는 것으로 알려져 있으므로, 광고 프로그램의 설치를 유도할 수 있는 배포용 프로그램이 설치되지 않도록 신뢰성이 확인되지 않은 파일을 다운로드하여 실행하는 일이 없도록 주의하시기 바랍니다.