최근 국내에서 제작된 광고 기능을 가진 것으로 추정되는 프로그램이 설치된 경우 Windows 시작시 "ehame.exe의 작동이 중지되었습니다."라는 오류창이 반복적으로 생성되며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 방식으로 유포가 이루어지고 있는 사례가 확인되고 있습니다.
▶ <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종
▶ <2013년 상반기 관련 정보> 검색 도우미 : Sppen Plugin (2013.5.12) 외 8종
▷ 검색 도우미 : Wellbinga System (2013.7.22)
해당 프로그램은 2011년 전후부터 꾸준하게 유포가 확인되고 있으며, 특히 프로그램 삭제 방해를 목적으로 제어판에 등록하지 않거나 마이크로소프트(Microsoft) 관련 프로그램처럼 등록하는 방식으로 유명하였습니다.
프로그램 설치 과정에서는 "C:\Users\(사용자 계정)\AppData\Local\Temp\ehame\ehamesup.exe" 파일(MD5 : 3a7e6e886e00c3f3e7fa8dc4d0195746)을 생성하여 프로그램 설치를 완료한 후 자신은 삭제 처리가 됩니다.
[생성 폴더 / 파일 등록 정보]
C:\Windows\System32\AppCompat
C:\Windows\System32\AppCompat\ehame
C:\Windows\System32\AppCompat\ehame\clehame.exe
C:\Windows\System32\AppCompat\ehame\ehame.exe :: 서비스(Appehame) 등록 파일, 메모리 상주 프로세스
C:\Windows\System32\AppCompat\ehame\ehamez.dat
C:\Windows\System32\AppCompat\ehame\ehamez.exe :: 시작 프로그램 등록 파일
C:\Windows\System32\AppCompat\ehame\unins000.dat
C:\Windows\System32\AppCompat\ehame\unins000.exe :: 프로그램 삭제 파일
[생성 파일 진단 정보]
C:\Windows\System32\AppCompat\ehame\ehamez.exe
- MD5 : 1cce55cf130f8c18eee0b4814e747c8f
- AhnLab V3 : PUP/Win32.WindowsLiveProtect (VT : 6/48)
cnkcompany 디지털 서명이 포함된 해당 프로그램은 사용자가 확인하기 어려운 "C:\Windows\System32\AppCompat\ehame" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 2가지 방식으로 자동 실행되도록 구성되어 있습니다.
"Appehame (표시 이름 : Application Ehame System)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\AppCompat\ehame\ehame.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(ehame.exe)은 "C:\Windows\System32\AppCompat\ehame\ehamez.exe" 파일을 로딩하여 업데이트 체크를 수행합니다.
이를 통해 특정 업데이트 서버로부터 암호로 보호된 압축 파일을 "C:\Windows\Temp\_ir_tu2_temp_0" 폴더 내에 다운로드하여 업데이트를 수행하도록 제작되어 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ehame = C:\WINDOWS\system32\AppCompat\ehame\ehamez.exe
서비스 등록과 별도로 Windows 시작시 "C:\Windows\System32\AppCompat\ehame\ehamez.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
위와 같은 2중적인 동작 실행 과정에서 "C:\WINDOWS\system32\AppCompat\ehame\ehamez.exe" 파일의 반복적인 업데이트 체크 동작으로 인하여 "ehame.exe의 작동이 중지되었습니다."라는 오류창이 무한대로 생성되어 일부 시스템 환경에서는 Windows를 정상적으로 이용할 수 없는 문제가 발생할 수 있습니다.
정상적으로 설치된 환경의 경우에는 메모리에 상주하는 ehame.exe 프로세스를 통해 사용자가 특정 웹 사이트를 방문하는 과정에서 제휴 코드 추가 및 인터넷 쇼핑몰 바로가기 아이콘 등의 생성을 통한 수익 활동 등의 동작이 이루어질 것으로 추정됩니다.
프로그램 삭제를 위해서는 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 삭제 목록에 등록하지 않고 있으므로 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Appehame"] 명령어를 입력 및 실행하여 ehame.exe 프로세스를 자동 종료할 수 있습니다.
(b) "C:\Windows\System32\AppCompat\ehame\unins000.exe" 파일을 직접 찾아서 실행을 하시면 프로그램 삭제를 자동으로 진행할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\AppDataLow
- ehezesz = 1
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\c
HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\ehame
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ehame = C:\WINDOWS\system32\AppCompat\ehame\ehamez.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Appehame
국내 일부 광고 프로그램(※ 대표적 사례 : SubShop) 중에서는 제어판의 프로그램 목록에는 삭제 항목을 등록하지 않는 방식으로 사용자에 의한 프로그램 삭제를 방해하면서, 보안 제품의 진단을 법적으로 우회할 목적으로 프로그램 폴더 내에는 삭제 파일을 유지하는 방식으로 운영하는 경우가 있으므로 주의하시기 바랍니다.