국내에서 제작된 "Mouse Control Client" 프로그램은 Internet Explorer 웹 브라우저에서 마우스 우클릭 기능을 사용하지 못하도록 되어 있는 웹 사이트 접속시 차단 해제를 지원하는 프로그램으로 소개되어 있습니다.
하지만 프로그램 설치시 필수적으로 추가되는 광고 기능이 포함되어 있는 문제로 인하여, 다양한 배포 방식을 통해 설치되는 과정에서 사용자는 제대로 인지하지 못하는 것으로 판단되어 불편을 겪는 것으로 보입니다.
이에 "Mouse Control Client" 프로그램에 대한 정보가 일부 수집되어 파일 정보 및 프로그램 삭제에 대해 살펴보도록 하겠습니다.
▷ 국내 악성코드 : Windows mouse protection release - spmonxxysvsp.exe (2013.11.26)
▷ 검색 도우미 : Internet Service Manager - ismuuvpshr.exe (2013.11.26)
▷ 검색 도우미 : Intelligent - icmttuoric.exe (2013.11.27)
해당 프로그램은 기존에 확인된 유사한 기능을 가진 다양한 마우스(Mouse) 관련 변종 프로그램이 존재하므로 참고하시기 바랍니다.
■ "Mouse Control Client" 변종 프로그램 정보
|
파일 경로 |
C:\Program Files (x86)\MouseControl\mousectrl_sch.exe |
|
MD5 |
88F81A17CB1961EEA40A350465E9C177 |
|
진단명 |
Win32:Adware-AZP [Adw] (avast!) |
|
디지털 서명 |
JDK |
|
파일 설명 |
mousectrl_sch.exe |
|
비고 |
예약 작업(C:\Windows\Tasks\mcsxxysvmc.job) 등록 파일, 디지털 서명 불량 |
|
파일 경로 |
C:\Program Files (x86)\MouseControl\mousectrl_uc.exe |
|
MD5 |
365CB03DD59C5934E9B28FA676075A7D |
|
진단명 |
Win32:Adware-AZP [Adw] (avast!) |
|
디지털 서명 |
JDK |
|
파일 설명 |
mousectrl_uc.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - MOUSECONTROL |
|
비고 |
시작 프로그램(MOUSECONTROL) 등록 파일, 디지털 서명 불량 |
|
파일 경로 |
C:\Windows\mcmxxysvmc.exe |
|
MD5 |
D117F3DC4A90F279C5BA7661FEF92F49 |
|
진단명 |
Win32:Adware-AZP [Adw] (avast!) |
|
디지털 서명 |
JDK |
|
파일 설명 |
mcmxxysvmc.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcmxxysvmc |
|
비고 |
서비스(mcmxxysvmc) 등록 파일, 디지털 서명 불량 |
|
파일 경로 |
C:\Windows\mxxysvmcx.exe |
|
MD5 |
8E523CC0070FDE6F5D1E77046A0762BF |
|
디지털 서명 |
JDK |
|
파일 설명 |
MWMToolbar 에이전트 프로그램 |
|
제품 이름 |
MWMToolbar |
|
비고 |
예약 작업(C:\Windows\Tasks\mxxysvmcx.job) 등록 파일, 메모리 상주 프로세스 |
※ 수집된 "Mouse Control Client" 프로그램은 일부 파일(C:\WINDOWS\System32\drivers\mousectrl_dd.sys / C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousectrl_uc.lnk)에 대한 정보가 누락되어 있는 것으로 추정됩니다.
JDK 디지털 서명이 포함된 "Mouse Control Client" 프로그램은 "C:\Program Files (x86)\MouseControl" 폴더 및 Windows 폴더 내부에 주요 파일을 생성하고 있으며, 다양한 등록값(시작 프로그램, 서비스, 예약 작업)을 통해 시스템 시작시 자동 실행되도록 제작되어 있습니다.
특히 파일에 추가된 JDK 디지털 서명은 유효 기간이 만료된 상태로 표시되고 있는 특징을 가지고 있습니다.
또한 변종 프로그램에 따라서는 서비스에 등록된 "C:\Windows\mcmxxysvmc.exe" 파일 및 서비스 등록값이 변경될 수 있으며, 광고창 생성 기능을 가진 MWMToolbar 광고 모듈(C:\Windows\mxxysvmcx.exe) 파일명도 변경될 수 있으리라 판단됩니다.
프로그램의 삭제는 기본적으로 제어판에 등록된 "Mouse Control Client" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자에 의한 프로그램 삭제 방식은 다음의 내용을 참고하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcmxxysvmc"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동으로 삭제할 수 있습니다.
(b) Windows 작업 관리자를 실행하여 "C:\Program Files (x86)\MouseControl" 폴더 내에 존재하는 실행 파일(.exe)명을 참고하여 메모리에 상주하는 프로세스가 존재한다면 종료하시기 바랍니다.
또한 Windows 폴더에 존재하는 MWMToolbar 광고 모듈 파일명(C:\Windows\mxxysvmcx.exe)을 참고하여 메모리에 상주하는 프로세스를 찾아 종료하시기 합니다.
(c) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\MouseControl
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousectrl_uc.lnk
- C:\Windows\mcmxxysvmc.exe
- C:\Windows\mxxysvmcx.exe
- C:\Windows\System32\drivers\mousectrl_dd.sys
- C:\Windows\Tasks\mcsxxysvmc.job
- C:\Windows\Tasks\mxxysvmcx.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MOUSECONTROL
"Mouse Control Client" 프로그램은 유용한 기능을 제공하는 프로그램처럼 홍보하여 사용자 PC에 설치를 유도할 것으로 보이며, 프로그램이 설치된 후에는 수익 창출 목적으로 다양한 광고 행위를 통해 불편을 유발할 수 있을 것으로 판단됩니다.
그러므로 위와 같은 프로그램이 설치되어 어떤 프로그램을 통해 광고 기능이 수행되는지 쉽게 찾을 수 없는 경우가 발생할 수 있으므로 신뢰할 수 없는 프로그램이 설치되지 않도록 주의하시기 바랍니다.