본문 바로가기

벌새::PUP Info

검색 도우미 : IE Support for Windows (remove only) - irnqrvpir.exe (2013.11.29)

 

Internet Explorer 웹 브라우저 하단 또는 추가적인 창을 통해 광고를 노출하는 것으로 판단되는 국내에서 제작된 "IE Support for Windows (remove only)" 광고 프로그램에 대한 일부 정보가 수집되어 공개해 드립니다.

 

해당 프로그램은 동일한 폴더 및 파일명으로 제작된 "Internet Research Support" 검색 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

우선 IE Support for Windows (remove only) 또는 Internet Research Support 프로그램의 배포를 담당하는 것으로 추정되는 "Windows Fix Errors" 프로그램에 대한 새로운 변종이 확인되어 살펴보도록 하겠습니다.

 

"Windows Fix Errors" 변종 프로그램 정보

 

해당 프로그램은 "Windows Reflection Service - rimirnmums.exe" 프로그램 배포에서도 확인되었으며, 다양한 변종 프로그램(INSafe mode, Utility Folder, Windows AutoFix, Windows User Configure for PC)이 존재한 것으로 알려져 있습니다.

 

파일 경로

 C:\Windows\irmripvrqn.exe

MD5

 D21505B502BA257BE8FB0C1E67DAA3E5

디지털 서명

 INSAFE

파일 설명

 irmripvrqn.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irmripvrqn

비고

 서비스(irmripvrqn) 등록 파일

 

Windows Fix Errors 프로그램은 "irmripvrqn" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\irmripvrqn.exe" 파일을 자동 실행하도록 하여, IE Support for Windows 또는 Internet Research Support 프로그램과 같은 광고 프로그램의 설치를 유도할 것으로 추정됩니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Windows Fix Errors" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 삭제하는 방법은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "irmripvrqn"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제할 수 있습니다.

(b) Windows 탐색기를 실행하여 "C:\Windows\irmripvrqn.exe" 파일을 찾아 삭제하시기 바랍니다.

 

특히 다양한 변종 프로그램을 통해 파일명과 서비스 등록값을 변경하는 방식으로 유포가 이루어지고 있으므로 이런 프로그램이 설치되지 않도록 주의하시기 바랍니다.

 

"IE Support for Windows (remove only)" 변종 프로그램(irnqrvpir.exe) 정보

 

Windows Fix Errors 프로그램과 같은 배포용 프로그램을 통해 최종적으로 설치될 수 있는 대표적인 광고 프로그램인 "IE Support for Windows (remove only)" 프로그램은 "Internet Research Support" 프로그램으로도 유포가 확인되고 있습니다.

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearch.exe

MD5

 6BEB5083C041A3ACB8CCD2CF10C89844

진단명

 PUP/Win32.IntClient (AhnLab V3)

디지털 서명

 INSAFE

파일 설명

 ieresearch.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearchs.exe

MD5

 DDDDF91B062797725751A8D30F0BBA7D

디지털 서명

 INSAFE

파일 설명

 ieresearchs.exe

비고

 예약 작업(C:\Windows\Tasks\irsnqrvpir.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\Internet Research Support\ieresearchu.exe

MD5

 3479150975D3BED7AA2908550429DCE4

디지털 서명

 INSAFE

파일 설명

 ieresearchu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - RESEARCHINFO

비고

 시작 프로그램(RESEARCHINFO) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ieresearchu.lnk) 등록 파일

 

파일 경로

 C:\Windows\irnqrvpir.exe

MD5

 268FF45805B5B3AFA8AAF88248486BB5

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

파일 설명

 irnqrvpir.exe

제품 이름

 INISafe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\irnqrvpir

비고

 서비스(irnqrvpir) 등록 파일

 

"IE Support for Windows (remove only)" 프로그램은 "C:\Program Files (x86)\Internet Research Support" 폴더 및 Windows 폴더 내에 파일을 생성하며, 변종 프로그램으로 알려진 "Internet Research Support" 프로그램도 동일한 구성으로 되어 있습니다.

 

시스템 시작시 시작 프로그램 폴더, 시작 프로그램, 서비스, 예약 작업에 파일을 등록하여 다양한 위치에서 자동 실행되도록 구성되어 있으며, 이를 통해 ieresearch.exe 프로세스를 메모리에 상주시켜 광고창 생성 등의 동작을 할 것으로 추정됩니다.

 

또한 해당 프로그램은 다양한 변종에 따라 Windows 폴더에 등록되는 서비스 파일 및 서비스 등록값을 다양한 이름으로 변경하여 설치가 이루어지고 있는 것으로 판단됩니다.

 

프로그램 삭제는 기본적으로 제어판에 등록된 "IE Support for Windows (remove only)" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자에 의한 삭제 방식은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "irnqrvpir"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 ieresearch.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Windows 탐색기를 실행하여 다음의 폴더 및 파일을 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\Internet Research Support
  • C:\Windows\irnqrvpir.exe
  • C:\Windows\Tasks\irsnqrvpir.job
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ieresearchu.lnk

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - RESEARCHINFO

"IE Support for Windows (remove only)" 프로그램은 동일한 폴더와 파일로 설치되지만 제어판에는 다양한 프로그램 이름(Internet Research Support)으로 등록되어 사용자에게 혼동을 유발할 수 있으며, 위와 같은 프로그램 설치를 유도할 목적으로 "Windows Fix Errors" 프로그램과 같은 Windows 관련 프로그램으로 위장한 다양한 변종 프로그램을 다양한 경로로 유포하고 있으므로 주의하시기 바랍니다.

 

 

  • ㅇㅇ 2014.02.13 19:44 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 우선 좋은 정보 감사드립니다.
    제가 Internet Research Support 폴더에 ieresearchu.exe, ieresearchs.exe, ieresearch.exe 이렇게 3가지가 있더라구요. 그래서 어떻게 하다가 우선 Internet Research Support 폴더를 지우긴했습니다. 처음에는 안 되다가 어찌하다 보니까 지워지더라고요.
    프로세스도 종료하고 하긴했는데 시작 프로그램에 있는 RESEARCHINFO는 지워지지 않네요ㅠ 폴더를 지우고 하니 INSAFE라는 게시자 이름은 사라져있는데 아직 RESEARCHINFO는 그대로 시작 프로그램에 남아있습니다. 지우려고 해도 액세스가 거부된다고만 떠요. 레지스트리로 들어가서 지우려고해도 "지정된 모든값을 지울 수 없습니다" 라고만 뜹니다. 이거 어떻게 해야되나요?

    • 시작 프로그램 폴더에 존재하는 파일은 lnk 파일로 Internet Research Support 폴더 내에 있는 ieresearchu.exe 파일을 실행하도록 할 목적으로 등록한 파일로 알고 있습니다.

      그러므로 우선적으로 동작은 전혀하지 못할 것으로 보이며, 삭제를 어떤 식으로 시도하셨는지 모르지만 삭제가 안된다면 안전 모드(F8)에서 삭제를 진행해 보시기 바랍니다.

      또한 삭제가 방해되는 동작은 윈도우 폴더 등 관련 파일 일부가 삭제되지 않기 때문이 아닌가 생각되므로 추가적인 프로그램 삭제가 필요해 보입니다.ㅠㅠ

  • ㅇㅇ 2014.02.13 20:06 댓글주소 수정/삭제 댓글쓰기

    빠른 답변 감사드립니다.
    지금 CC클리너로 레지스트리 정리를 했는데 '존재하지 않는 시작프로그램'이라고 ieresearchu.exe 가 몇번을 지워도 계속 뜨네요ㅠ 그럼 제가 지웠던 3개가 들어있던 폴더가 제대로 지워지지 않았다고 보면 되는건가요?...

    그럼 어떤 추가적인 프로그램 삭제를 해야하나요?

    • 이 프로그램은 변종에 따라 윈도우 폴더에 생성되는 파일 이름이 다양하게 생성되어 직접 보지 않는 이상 알 수 없습니다.

      시간이 되시면 http://cafe.naver.com/malzero 카페에서 문의를 하시면 원격 지원 등을 통해 도움을 받으실 수 있습니다.