본문 바로가기

벌새::Analysis

악성코드 제거 프로그램 : 피씨도우미(PCDoumi) - PCDOUMI 버전 2.04b

728x90
반응형

국내 (주)씨온 업체에서 제공하는 유료 악성코드 제거 프로그램 "피씨도우미(PCDoumi) - PCDOUMI 버전 2.04b" 제품에 대해 살펴보도록 하겠습니다.

 

  악성코드 제거 프로그램 : 메가백신(MegaVaccine) (2013.3.14)

 

  악성코드 제거 프로그램 : 네티클린(NetiClean) (2013.6.10)

 

해당 프로그램은 기존의 파이어월(FireWall) 계열 악성코드 제거 프로그램의 변종으로 판단되므로 참고하시기 바랍니다.

 

[테스트 환경]

 

◆ 운영 체제(OS) : Windows 7 SP1

◆ 설치 파일(SHA-1) : baacc50812d5b70cd2fc58b096ee9cb5432ed055 - Kaspersky : Trojan-FakeAV.Win32.AntispywareFireWallPro.a (VT : 6/51)

 

※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.

※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다.

 

1. 프로그램 설치 및 삭제 정보

 

1-1. 생성 폴더 / 파일 정보

 

C:\pcdoumi_app

C:\pcdoumi_app\unins000.dat
C:\pcdoumi_app\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\pcdoumi
C:\Program Files\pcdoumi\css
C:\Program Files\pcdoumi\dlls
C:\Program Files\pcdoumi\dlls\gmj.bat
C:\Program Files\pcdoumi\dlls\jquery.form.js
C:\Program Files\pcdoumi\dlls\jquery.js
C:\Program Files\pcdoumi\dlls\php_bcompiler.dll
C:\Program Files\pcdoumi\dlls\php_curl.dll
C:\Program Files\pcdoumi\dlls\php_win32std.dll
C:\Program Files\pcdoumi\dlls\php_winbinder.dll
C:\Program Files\pcdoumi\dlls\prg_1.npl
C:\Program Files\pcdoumi\dlls\prg_3.npl
C:\Program Files\pcdoumi\dlls\prg_4.npl
C:\Program Files\pcdoumi\dlls\prg_5.npl
C:\Program Files\pcdoumi\dlls\prg_6.npl
C:\Program Files\pcdoumi\dlls\sys_in.cfg
C:\Program Files\pcdoumi\fw_c.fwd
C:\Program Files\pcdoumi\fw.cfg
C:\Program Files\pcdoumi\fw01.fwd
C:\Program Files\pcdoumi\fw02.fwd
C:\Program Files\pcdoumi\fw03.fwd
C:\Program Files\pcdoumi\fw04.fwd
C:\Program Files\pcdoumi\fw05.fwd
C:\Program Files\pcdoumi\fw06.fwd
C:\Program Files\pcdoumi\fw07.fwd
C:\Program Files\pcdoumi\fw08.fwd
C:\Program Files\pcdoumi\fw09.fwd
C:\Program Files\pcdoumi\fw10.fwd
C:\Program Files\pcdoumi\fw11.fwd
C:\Program Files\pcdoumi\fw12.fwd
C:\Program Files\pcdoumi\fwcn.fwt
C:\Program Files\pcdoumi\fwpromd.exe :: 악성코드 검사 및 치료 모듈, 메모리 상주 프로세스
C:\Program Files\pcdoumi\images
C:\Program Files\pcdoumi\libeay32.dll
C:\Program Files\pcdoumi\pcdoumi.exe :: 프로그램 실행 파일
C:\Program Files\pcdoumi\pcdoumi.hta :: 프로그램 실행 모듈
C:\Program Files\pcdoumi\pcdoumi.ico
C:\Program Files\pcdoumi\php-embed.ini
C:\Program Files\pcdoumi\php5ts.dll
C:\Program Files\pcdoumi\ssleay32.dll
C:\Program Files\pcdoumi\unins000.dat
C:\Program Files\pcdoumi\unins000.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC도우미
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC도우미\PCDOUMI 제거.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC도우미\PCDOUMI.lnk
C:\Users\Public\Desktop\PCDOUMI.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\pcdoumi\fwpromd.exe
 - SHA-1 : 6be0d02f6ce1d7012227ccd0e26b4e535d934d71
 - nProtect : Trojan/W32.Agent_Packed.413696.C (VT : 30/49)

 

해당 프로그램은 "C:\pcdoumi_app", "C:\Program Files\pcdoumi" 폴더에 파일을 생성하며, 프로그램을 실행(C:\Program Files\pcdoumi\pcdoumi.exe)하면 "C:\Windows\System32\mshta.exe" 시스템 파일을 통해 "C:\Program Files\pcdoumi\pcdoumi.hta" 파일을 로딩하여 프로그램 메인 화면을 생성합니다.

악성코드 검사 및 시스템 최적화 검사를 통해 진단된 항목에 대해 치료를 위해서는 유료 결제를 통한 사용자 인증을 요구하는 창이 생성됩니다.

또한 일정 시간이 경과하면 "C:\Program Files\pcdoumi\fwpromd.exe" 파일을 통해 시스템 트레이 알림 아이콘 상단에 팝업창을 생성하여 유료 결제를 유도합니다.

 

1-2. 생성 레지스트리 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{EF5854CB-2BA3-4EA3-85A5-2749A76B047A}}_is1

 

1-3. 프로세스 정보

프로그램이 실행 및 악성코드 검사가 실행되면 mshta.exe, fwpromd.exe 2개의 프로세스가 생성되므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 mshta.exe, fwpromd.exe 2개의 프로세스가 존재할 경우 종료하시기 바랍니다.

 

1-4. 프로그램 삭제 정보

프로그램 삭제는 제어판에 등록된 "PCDOUMI 버전 2.04b" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\pcdoumi
  • C:\Program Files\pcdoumi\dlls
  • C:\Program Files\pcdoumi\pcdoumi.hta

2. 제품 유료 결제 해지 방법

 

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

 

(1) 전화 : 070-7777-6390

(2) 자동 연장 결제 해지 신청 게시판

 

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 1372 소비자상담센터(국번없이 1372)에 민원 접수를 통해 상담하시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 한국인터넷진흥원 118센터(국번없이 118번)를 통해 무료 원격 점검을 받으실 수 있습니다.

 

728x90
반응형