본문 바로가기

벌새::PUP Info

검색 도우미 : IE Support for Windows (remove only) - irnqrvpir.exe (2013.11.29)

728x90
반응형

 

Internet Explorer 웹 브라우저 하단 또는 추가적인 창을 통해 광고를 노출하는 것으로 판단되는 국내에서 제작된 "IE Support for Windows (remove only)" 광고 프로그램에 대한 일부 정보가 수집되어 공개해 드립니다.

 

해당 프로그램은 동일한 폴더 및 파일명으로 제작된 "Internet Research Support" 검색 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

우선 IE Support for Windows (remove only) 또는 Internet Research Support 프로그램의 배포를 담당하는 것으로 추정되는 "Windows Fix Errors" 프로그램에 대한 새로운 변종이 확인되어 살펴보도록 하겠습니다.

 

"Windows Fix Errors" 변종 프로그램 정보

 

해당 프로그램은 "Windows Reflection Service - rimirnmums.exe" 프로그램 배포에서도 확인되었으며, 다양한 변종 프로그램(INSafe mode, Utility Folder, Windows AutoFix, Windows User Configure for PC)이 존재한 것으로 알려져 있습니다.

 

파일 경로

 C:\Windows\irmripvrqn.exe

MD5

 D21505B502BA257BE8FB0C1E67DAA3E5

디지털 서명

 INSAFE

파일 설명

 irmripvrqn.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irmripvrqn

비고

 서비스(irmripvrqn) 등록 파일

 

Windows Fix Errors 프로그램은 "irmripvrqn" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\irmripvrqn.exe" 파일을 자동 실행하도록 하여, IE Support for Windows 또는 Internet Research Support 프로그램과 같은 광고 프로그램의 설치를 유도할 것으로 추정됩니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Windows Fix Errors" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 삭제하는 방법은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "irmripvrqn"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제할 수 있습니다.

(b) Windows 탐색기를 실행하여 "C:\Windows\irmripvrqn.exe" 파일을 찾아 삭제하시기 바랍니다.

 

특히 다양한 변종 프로그램을 통해 파일명과 서비스 등록값을 변경하는 방식으로 유포가 이루어지고 있으므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.

 

"IE Support for Windows (remove only)" 변종 프로그램(irnqrvpir.exe) 정보

 

Windows Fix Errors 프로그램과 같은 배포용 프로그램을 통해 최종적으로 설치될 수 있는 대표적인 광고 프로그램인 "IE Support for Windows (remove only)" 프로그램은 "Internet Research Support" 프로그램으로도 유포가 확인되고 있습니다.

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearch.exe

MD5

 6BEB5083C041A3ACB8CCD2CF10C89844

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

파일 설명

 ieresearch.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearchs.exe

MD5

 DDDDF91B062797725751A8D30F0BBA7D

디지털 서명

 INSAFE

파일 설명

 ieresearchs.exe

비고

 예약 작업(C:\Windows\Tasks\irsnqrvpir.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearchu.exe

MD5

 3479150975D3BED7AA2908550429DCE4

디지털 서명

 INSAFE

파일 설명

 ieresearchu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - RESEARCHINFO

비고

 시작 프로그램(RESEARCHINFO) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ieresearchu.lnk) 등록 파일

 

파일 경로

 C:\Windows\irnqrvpir.exe

MD5

 268FF45805B5B3AFA8AAF88248486BB5

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

파일 설명

 irnqrvpir.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irnqrvpir

비고

 서비스(irnqrvpir) 등록 파일

 

"IE Support for Windows (remove only)" 프로그램은 "C:\Program Files (x86)\Internet Research Support" 폴더 및 Windows 폴더 내에 파일을 생성하며, 변종 프로그램으로 알려진 "Internet Research Support" 프로그램도 동일한 구성으로 되어 있습니다.

 

시스템 시작시 시작 프로그램 폴더, 시작 프로그램, 서비스, 예약 작업에 파일을 등록하여 다양한 위치에서 자동 실행되도록 구성되어 있으며, 이를 통해 ieresearch.exe 프로세스를 메모리에 상주시켜 광고창 생성 등의 동작을 할 것으로 추정됩니다.

 

또한 해당 프로그램은 다양한 변종에 따라 Windows 폴더에 등록되는 서비스 파일 및 서비스 등록값을 다양한 이름으로 변경하여 설치가 이루어지고 있는 것으로 판단됩니다.

 

프로그램 삭제는 기본적으로 제어판에 등록된 "IE Support for Windows (remove only)" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자에 의한 삭제 방식은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "irnqrvpir"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 ieresearch.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\Internet Research Support
  • C:\Windows\irnqrvpir.exe
  • C:\Windows\Tasks\irsnqrvpir.job
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ieresearchu.lnk

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - RESEARCHINFO

"IE Support for Windows (remove only)" 프로그램은 동일한 폴더와 파일로 설치되지만 제어판에는 다양한 프로그램 이름(Internet Research Support)으로 등록되어 사용자에게 혼동을 유발할 수 있으며, 위와 같은 프로그램 설치를 유도할 목적으로 "Windows Fix Errors" 프로그램과 같은 Windows 관련 프로그램으로 위장한 다양한 변종 프로그램을 다양한 경로로 유포하고 있으므로 주의하시기 바랍니다.

 

 

728x90
반응형