울지않는벌새 : Security, Movie & Society

검색 도우미 : Mouse Control Client - mcmwqyqrmc.exe (2013.12.14)

벌새::PUP Info

 

Internet Explorer 웹 브라우저 상에서 마우스 우클릭 제한을 해제할 수 있는 프로그램으로 설치되어 광고 기능을 수행하는 검색 도우미 "Mouse Control Client" 프로그램에 대해 추가적인 정보가 수집되어 공개합니다.

 

  검색 도우미 : Mouse Control Client - mcmxxysvmc.exe (2013.11.28)

 

  검색 도우미 : Mouse Control Client - mcmruvztmc.exe (2013.12.1)

 

해당 프로그램은 다양한 변종 프로그램에 따라 일부 생성 파일이 다양하게 등록되므로 참고하시기 바랍니다.

 

"Utility Folder" 변종 프로그램 정보

 

우선 "Mouse Control Client" 프로그램의 설치를 유도하는 것으로 추정되는 "Utility Folder" 프로그램에 대해 살펴보도록 하겠습니다.

 

  네이버 지식인 답변글을 이용한 제휴 프로그램 유포 주의 (2013.9.27)

 

"Utility Folder" 프로그램은 다양한 광고 프로그램의 배포 목적으로 제작된 프로그램으로 다양한 변종이 존재합니다.

 

파일 경로

 C:\WINDOWS\usmumnpds.exe

MD5

 0C54C39C1A82B5A295F6352301E5E8B3

진단명

 a variant of Win32/AdWare.Kraddare.IL (ESET)

디지털 서명

 INSAFE

파일 설명

 usmumnpds.exe

제품 이름

 Service Manager

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usmumnpds

비고

 서비스(usmumnpds, 표시 이름 : Utility Folder) 등록 파일

 

Utility Folder 프로그램은 "usmumnpds (표시 이름 : Utility Folder)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\usmumnpds.exe" 파일을 자동 실행하여 "Mouse Control Client" 프로그램과 같은 광고 기능을 가진 프로그램을 설치 유도하는 것으로 추정됩니다.

 

프로그램은 제어판의 "Utility Folder" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 직접 삭제하는 방법은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "usmumnpds"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동 삭제할 수 있습니다.

(b) Windows 탐색기를 실행하여 "C:\WINDOWS\usmumnpds.exe" 파일을 찾아 삭제하시기 바랍니다.

 

해당 프로그램은 변종에 따라 다양한 파일명과 서비스 등록값으로 설치가 이루어지고 있으며, Utility Folder와 유사한 기능을 가진 Windows AutoFix, Windows User Configure for PC 등은 다양한 광고 프로그램의 배포 목적으로 제작되었으므로 주의하시기 바랍니다.

 

"Mouse Control Client" 변종 프로그램 정보

 

파일 경로

 C:\Program Files\MouseControl\mousectrl_sch.exe

MD5

 FDF233B372A129249926116E088A7BD2

진단명

 Win32:Adware-AZP [Adw] (avast!)

디지털 서명

 JDK

파일 설명

 mousectrl_sch.exe

비고

 예약 작업(C:\WINDOWS\Tasks\mcswqyqrmc.job) 등록 파일, 디지털 서명 불량

 

파일 경로

 C:\Program Files\MouseControl\mousectrl_uc.exe

MD5

 88DF4457E5EB96DFC214B2474D79E55F

진단명

 Win32:Adware-AZP [Adw] (avast!)

디지털 서명

 JDK

파일 설명

 mousectrl_uc.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSECONTROL

비고

 시작 프로그램(MOUSECONTROL) 등록 파일, 시작 프로그램 폴더(C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\mousectrl_uc.lnk) 등록 파일, 디지털 서명 불량

 

파일 경로

 C:\Program Files\MouseControl\mwqyqrmcx.exe

MD5

 F9D1480B83892BEB58DB77BC99747EF2

진단명

 PUP/Win32.MWManager (AhnLab V3)

디지털 서명

 JDK

파일 설명

 MWMToolbar 에이전트 프로그램

제품 이름

 MWMToolbar

비고

 메모리 상주 프로세스, 디지털 서명 불량

 

파일 경로

 C:\WINDOWS\mcmwqyqrmc.exe

MD5

 CA71AAF1968440A4878C269A296B180B

디지털 서명

 JDK

파일 설명

 mcmwqyqrmc.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcmwqyqrmc

비고

 서비스(mcmwqyqrmc, 표시 이름 : Windows Mouse Control) 등록 파일

 

파일 경로

 C:\WINDOWS\system32\drivers\mousectrl_dd.sys

MD5

 1F065CC30F2745C9D40669F0ADC9AD5B

디지털 서명

 JDK

파일 설명

 mousectrl_dd.sys

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mousectrl_dd

비고

 서비스(mousectrl_dd) 드라이버 등록 파일

유효하지 않은 JDK 디지털 서명을 사용하는 "Mouse Control Client" 프로그램은 "C:\Program Files\MouseControl" 폴더와 Windows 폴더 내에 파일을 생성하며, 변종에 따라 서비스 등록값 및 파일명이 다양하게 존재할 수 있습니다.

 

시스템 시작시 서비스, 시작 프로그램, 시작 프로그램 폴더, 예약 작업 영역에 파일을 등록하여 프로그램이 자동 실행되도록 구성되어 있으며, 이를 통해 윙고 툴바(WingGo Toolbar) 계열의 광고 모듈(C:\Program Files\MouseControl\mwqyqrmcx.exe) 파일이 메모리에 상주하여 광고창 생성 기능을 수행하는 것으로 추정됩니다.

 

프로그램 삭제는 제어판에 등록된 "Mouse Control Client" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자에 의한 삭제 방식은 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcmwqyqrmc"], [sc delete "mousectrl_dd"] 2개의 명령어를 각각 입력 및 실행하여 등록된 서비스 값을 자동으로 삭제할 수 있습니다.

(b) Windows 작업 관리자를 실행하여 mwqyqrmcx.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Windows 탐색기를 실행하여 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\mousectrl_uc.lnk
  • C:\Program Files\MouseControl
  • C:\WINDOWS\mcmwqyqrmc.exe
  • C:\WINDOWS\system32\drivers\mousectrl_dd.sys
  • C:\WINDOWS\Tasks\mcswqyqrmc.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSECONTROL

"Mouse Control Client" 프로그램은 마우스(Mouse) 관련 프로그램처럼 프로그램 이름을 등록하여 광고 기능으로 의심하지 않도록 사용자를 기만하고 있으므로 위와 같은 프로그램이 설치되지 않도록 주의하시기 바랍니다.