본문 바로가기

벌새::PUP Info

검색 도우미 : Mouse Control Client - mcmxxysvmc.exe (2013.11.28)

 

국내에서 제작된 "Mouse Control Client" 프로그램은 Internet Explorer 웹 브라우저에서 마우스 우클릭 기능을 사용하지 못하도록 되어 있는 웹 사이트 접속시 차단 해제를 지원하는 프로그램으로 소개되어 있습니다.

 

하지만 프로그램 설치시 필수적으로 추가되는 광고 기능이 포함되어 있는 문제로 인하여, 다양한 배포 방식을 통해 설치되는 과정에서 사용자는 제대로 인지하지 못하는 것으로 판단되어 불편을 겪는 것으로 보입니다.

 

이에 "Mouse Control Client" 프로그램에 대한 정보가 일부 수집되어 파일 정보 및 프로그램 삭제에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : Windows mouse protection release - spmonxxysvsp.exe (2013.11.26)

 

  검색 도우미 : Internet Service Manager - ismuuvpshr.exe (2013.11.26)

 

  검색 도우미 : Intelligent - icmttuoric.exe (2013.11.27)

 

해당 프로그램은 기존에 확인된 유사한 기능을 가진 다양한 마우스(Mouse) 관련 변종 프로그램이 존재하므로 참고하시기 바랍니다.

 

"Mouse Control Client" 변종 프로그램 정보

 

파일 경로

 C:\Program Files (x86)\MouseControl\mousectrl_sch.exe

MD5

 88F81A17CB1961EEA40A350465E9C177

진단명

 Win32:Adware-AZP [Adw] (avast!)

디지털 서명

 JDK

파일 설명

 mousectrl_sch.exe

비고

 예약 작업(C:\Windows\Tasks\mcsxxysvmc.job) 등록 파일, 디지털 서명 불량

 

파일 경로

 C:\Program Files (x86)\MouseControl\mousectrl_uc.exe

MD5

 365CB03DD59C5934E9B28FA676075A7D

진단명

 Win32:Adware-AZP [Adw] (avast!)

디지털 서명

 JDK

파일 설명

 mousectrl_uc.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSECONTROL

비고

 시작 프로그램(MOUSECONTROL) 등록 파일, 디지털 서명 불량

 

파일 경로

 C:\Windows\mcmxxysvmc.exe

MD5

 D117F3DC4A90F279C5BA7661FEF92F49

진단명

 Win32:Adware-AZP [Adw] (avast!)

디지털 서명

 JDK

파일 설명

 mcmxxysvmc.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcmxxysvmc

비고

 서비스(mcmxxysvmc) 등록 파일, 디지털 서명 불량

 

파일 경로

 C:\Windows\mxxysvmcx.exe

MD5

 8E523CC0070FDE6F5D1E77046A0762BF

디지털 서명

 JDK

파일 설명

 MWMToolbar 에이전트 프로그램

제품 이름

 MWMToolbar

비고

 예약 작업(C:\Windows\Tasks\mxxysvmcx.job) 등록 파일, 메모리 상주 프로세스

 

※ 수집된 "Mouse Control Client" 프로그램은 일부 파일(C:\WINDOWS\System32\drivers\mousectrl_dd.sys / C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousectrl_uc.lnk)에 대한 정보가 누락되어 있는 것으로 추정됩니다.

 

JDK 디지털 서명이 포함된 "Mouse Control Client" 프로그램은 "C:\Program Files (x86)\MouseControl" 폴더 및 Windows 폴더 내부에 주요 파일을 생성하고 있으며, 다양한 등록값(시작 프로그램, 서비스, 예약 작업)을 통해 시스템 시작시 자동 실행되도록 제작되어 있습니다.

특히 파일에 추가된 JDK 디지털 서명은 유효 기간이 만료된 상태로 표시되고 있는 특징을 가지고 있습니다.

 

또한 변종 프로그램에 따라서는 서비스에 등록된 "C:\Windows\mcmxxysvmc.exe" 파일 및 서비스 등록값이 변경될 수 있으며, 광고창 생성 기능을 가진 MWMToolbar 광고 모듈(C:\Windows\mxxysvmcx.exe) 파일명도 변경될 수 있으리라 판단됩니다.

 

프로그램의 삭제는 기본적으로 제어판에 등록된 "Mouse Control Client" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자에 의한 프로그램 삭제 방식은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcmxxysvmc"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동으로 삭제할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 "C:\Program Files (x86)\MouseControl" 폴더 내에 존재하는 실행 파일(.exe)명을 참고하여 메모리에 상주하는 프로세스가 존재한다면 종료하시기 바랍니다.

 

또한 Windows 폴더에 존재하는 MWMToolbar 광고 모듈 파일명(C:\Windows\mxxysvmcx.exe)을 참고하여 메모리에 상주하는 프로세스를 찾아 종료하시기 합니다.

 

(c) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\MouseControl
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mousectrl_uc.lnk
  • C:\Windows\mcmxxysvmc.exe
  • C:\Windows\mxxysvmcx.exe
  • C:\Windows\System32\drivers\mousectrl_dd.sys
  • C:\Windows\Tasks\mcsxxysvmc.job
  • C:\Windows\Tasks\mxxysvmcx.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSECONTROL

 

"Mouse Control Client" 프로그램은 유용한 기능을 제공하는 프로그램처럼 홍보하여 사용자 PC에 설치를 유도할 것으로 보이며, 프로그램이 설치된 후에는 수익 창출 목적으로 다양한 광고 행위를 통해 불편을 유발할 수 있을 것으로 판단됩니다.

 

그러므로 위와 같은 프로그램이 설치되어 어떤 프로그램을 통해 광고 기능이 수행되는지 쉽게 찾을 수 없는 경우가 발생할 수 있으므로 신뢰할 수 없는 프로그램이 설치되지 않도록 주의하시기 바랍니다.

  • Uranus 2013.11.28 15:58 댓글주소 수정/삭제 댓글쓰기

    아아. 오늘 눈 뜨고 코베였네요. 지금 백신은 아바스트, V3 Lite(아예 삭제됨) 전부 다 무력화, 광고 프로그램은 현재 대부분 영구 제거 완료. 이래서 본가가 아닌 다른 곳의 다운로드는 믿는 게 아닙니다..

    • 사용자가 파일을 잘못 다운로드하여 감염되는 경우도 많지만, 보안 패치를 제대로 하지 않고 인터넷을 하는 경우도 감염의 주요 경로입니다.

      그러므로 설치된 프로그램 및 윈도우는 항상 최신 버전으로 업데이트를 하시기 바랍니다.