울지않는벌새 : Security, Movie & Society

검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmums.exe (2014.1.8)

벌새::PUP Info

 

인터넷 검색시 광고창을 생성하여 사용자에게 불편함을 유발하는 국내에서 제작된 "GearExtention for Windows (x86,x64)" 검색 도우미 프로그램에 대한 추가적인 변종이 발견되어 정보를 공개해 드리도록 하겠습니다.

 

특히 이번 프로그램은 제어판의 삭제 항목에 기존과는 다르게 "GearExtention for Windows (x86,x64)" 삭제 항목이 등록되어 있지 않는 것으로 보이며, 이로 인하여 사용자는 프로그램 설치 여부 확인 및 삭제에 어려움이 예상됩니다.

 

■ "Optimize Application" 변종 프로그램 정보

 

"GearExtention for Windows (x86,x64)" 검색 도우미 프로그램의 배포 목적으로 제작된 것으로 추정되는 "Optimize Application" 프로그램이 함께 설치되어 있는 환경을 확인하였습니다.

 

파일 경로

 C:\Windows\gesmumnge.exe

MD5

 66552B1B21F178F97FED4E31CF2F9CE9

파일 설명

 gesmumnge.exe

제품 이름

 Resttime

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesmumnge

비고

 서비스(gesmumnge) 등록 파일

 

"Optimize Application" 프로그램의 이름은 마치 시스템 최적화 관련 프로그램처럼 사용자의 눈을 속이고 있으며, Windows 폴더 내에 랜덤(Random)한 파일명으로 생성되어 시스템 시작시 서비스 항목에 등록되어 자동 실행되도록 구성되어 있습니다.

 

이를 통해 추가적인 업데이트(다운로드) 창을 생성하여 "GearExtention for Windows (x86,x64)" 프로그램과 같은 제휴 프로그램 설치를 유도할 수 있을 것으로 추정됩니다.

 

프로그램 삭제를 위해서는 제어판에 등록된 "Optimize Application" 삭제 항목을 이용하여 삭제할 수 있을 것으로 보이며, 사용자가 직접 프로그램 삭제가 필요한 경우에는 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gesmumnge"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동 삭제하시기 바랍니다.

(b) "C:\Windows\gesmumnge.exe" 파일을 찾아 직접 삭제하시기 바랍니다.

 

"GearExtention for Windows (x86,x64)" 변종 프로그램 정보

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegnmqmp.exe (2013.12.16)

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegpvrqn.exe (2013.12.30)

 

  검색 도우미 : GearExtention for Windows (x86,x64) - gemegrsvsp.exe (2014.1.7)

 

"GearExtention for Windows (x86,x64)" 검색 도우미 프로그램은 변종에 따라 다양한 이름으로 설치가 이루어지고 있으며, 프로그램 보호 기능으로 인하여 삭제에 어려움을 겪는 사용자가 다수 있는 것으로 보입니다.

 

파일 경로

 C:\Program Files\Windows GearExt\gearext.exe

MD5

 B1BF1C42D96474F77630B24209A94E06

디지털 서명

 INSAFE

제품 설명

 GearExtention

제품 이름

 GearExtention

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Windows GearExt\gearexts.exe

MD5

 D5338195CDD358E32F84204D58A2C419

디지털 서명

 INSAFE

파일 설명

 gearexts.exe

비고

 예약 작업(C:\Windows\Tasks\gesegnmums.job) 등록 파일

 

파일 경로

 C:\Program Files\Windows GearExt\gearextu.exe

MD5

 DE56AB7683713B97E50FECD71CCA03A9

디지털 서명

 INSAFE

파일 설명

 gearextu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - EXTGEAR = "C:\Program Files\Windows GearExt\gearextu.exe" /run

비고

 시작 프로그램(EXTGEAR) 등록 파일, 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.lnk) 등록 파일

 

파일 경로

 C:\Windows\gemegnmums.exe

MD5

 19EFCFBDC1E00AE765A5CF0D3774B1ED

디지털 서명

 INSAFE

파일 설명

 gemegnmums.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gemegnmums

비고

 서비스(gemegnmums) 등록 파일

 

파일 경로

 C:\Windows\System32\drivers\gearext.sys

MD5

 966A0DC2C60885030DF100B4148CE06A

디지털 서명

 INSAFE

파일 설명

 gearext.sys

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gearext

비고

 드라이버(gearext) 등록 파일

 

INSAFE 디지털 서명이 포함된 "GearExtention for Windows (x86,x64)" 검색 도우미 프로그램은 "C:\Program Files\Windows GearExt" 폴더와 Windows 폴더 내에 파일을 생성하며, 변종 프로그램에 따라 서비스 파일 및 등록값이 다양하게 생성될 수 있는 것으로 보입니다.

 

프로그램이 설치된 환경에서는 서비스, 시작 프로그램(Run), 시작 프로그램 폴더, 예약 작업 영역에 파일을 등록하여 시스템 시작시 자동으로 실행되어 업데이트 및 프로그램이 자동 실행되도록 제작되어 있습니다.

 

이를 통해 사용자가 인터넷 검색 등의 동작시 자동으로 광고창을 생성하여 수익 활동을 수행하며, 프로그램 자체 보호 기능으로 인해 자동 실행 해제를 하지 못하도록 되어 있는 것 같습니다.

 

프로그램 삭제는 기본적으로 제어판에 등록된 "GearExtention for Windows (x86,x64)" 삭제 항목을 통해 삭제할 수 있지만, 일부 환경에서는 제어판에 등록하지 않는 사례도 확인되고 있으므로 안전 모드(F8)에서 사용자가 다음과 같은 절차에 따라 직접 삭제할 필요가 있으므로 참고하시기 바랍니다.

 

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gemegnmums"], [sc delete "gearext"] 명령어를 각각 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 gearext.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Windows GearExt
  • C:\Windows\gemegnmums.exe
  • C:\Windows\System32\drivers\gearext.sys
  • C:\Windows\System32\Tasks\gesegnmums
  • C:\Windows\Tasks\gesegnmums.job
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\gearextu.lnk

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - EXTGEAR = 
"C:\Program Files\Windows GearExt\gearextu.exe" /run

"GearExtention for Windows (x86,x64)" 검색 도우미 프로그램은 지속적으로 변종 프로그램이 발견되고 있으며, 설치된 환경에서는 사용자에게 불편을 유발하는 광고창 생성 동작이 발생하므로 주의하시기 바랍니다.