울지않는벌새 : Security, Movie & Society

검색 도우미 : Internet Service Manager - ismtnvnohr.exe (2014.3.3)

벌새::PUP Info

 

인터넷(Internet) 관련 프로그램처럼 이름을 등록하여 인터넷 검색시 광고창 및 바로가기 아이콘 등을 생성하는 광고 프로그램으로 추정되는 "Internet Service Manager" 검색 도우미 프로그램에 대한 파일 정보가 수집되어 살펴보도록 하겠습니다.

 

"Internet Service Manager" 프로그램이 설치된 PC 환경에서 추가적으로 발견될 수 있는 배포(업데이트)용 프로그램으로 보이는 Smart Update Windows Application, System Management 프로그램에 대한 파일 정보를 먼저 보도록 하겠습니다.

 

"Smart Update Windows Application" 변종 프로그램 정보

 

파일 경로

 C:\WINDOWS\gesmumnge.exe

MD5

 E64310CF5CE0BC0920BA19590AD3040E

파일 설명

 gesmumnge.exe

제품 이름

 Resttime

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gesmumnge

비고

 서비스(gesmumnge, 표시 이름 : Smart Update Windows Application) 등록 파일

 

"Smart Update Windows Application" 프로그램은 유사한 기능을 가진 Optimize Application, Windows Mouse Service Fix 프로그램의 변종이며, "gesmumnge (표시 이름 : Smart Update Windows Application)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\gesmumnge.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 서비스와 파일명은 변종에 따라 다를 수 있습니다.)

 

이를 통해 자동 실행된 서비스 파일(gesmumnge.exe)은 업데이트 기능 등을 통해 수익성 프로그램의 설치를 유도할 수 있을 것으로 추정되며, 기본적으로 제어판의 "Smart Update Windows Application" 삭제 항목을 통해 삭제할 수 있습니다.

 

만약 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gesmumnge"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) "C:\WINDOWS\gesmumnge.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"System Management" 변종 프로그램 정보

 

파일 경로

 C:\WINDOWS\ssmumnpdsup.exe

MD5

 43CA75495807CF1BCBB8F02C8ADCC763

진단명

 Adware/W32.Agent.442072 (nProtect)

디지털 서명

 INSAFE

파일 설명

 ssmumnpdsup.exe

제품 이름

 Service Manager

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssmumnpdsup

비고

 서비스(ssmumnpdsup, 표시 이름 : System Management) 등록 파일

 

INSAFE 디지털 서명이 포함된 "System Management" 프로그램은 기존의 유사한 기능을 가진 INSafe mode, Utility Folder 프로그램의 변종이며, "ssmumnpdsup (표시 이름 : System Management)" 서비스 항목을 등록하여 시스템 시작시 특정 서버에서 service2.zip 압축 파일(SHA-1 : ddb0f73da88cf8633c5b94f4687b2d47ba3193e9)을 다운로드하여 생성된 "C:\WINDOWS\ssmumnpdsup.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 서비스와 파일명은 변종에 따라 다를 수 있습니다.)

 

이를 통해 자동 실행된 파일(ssmumnpdsup.exe)은 업데이트 기능을 수행하여 수익성 프로그램의 설치를 유도할 수 있으며, 프로그램이 설치된 환경에서는 제어판을 통한 삭제를 지원하지 않는 것으로 판단되고 있습니다.

 

그러므로 프로그램 삭제를 위해서는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ssmumnpdsup"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(b) "C:\WINDOWS\ssmumnpdsup.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"Internet Service Manager" 변종 프로그램 정보

 

파일 경로

 C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\internetservicemgru.lnk

비고

 시작 프로그램 폴더 등록 파일, "C:\Program Files\Windows Internet Service Manager\internetservicemgru.exe" 파일 실행 기능

 

파일 경로

 C:\Program Files\Windows Internet Service Manager\internetservicemgr.exe

MD5

 AE536694EE0A0D59F65D59E315B6D577

디지털 서명

 INSAFE

파일 설명

 Internet Service Manager

제품 이름

 Internet Service Manager

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\Windows Internet Service Manager\internetservicemgru.exe

MD5

 B2A206D4571F16D586D21DF51668435A

디지털 서명

 INSAFE

파일 설명

 internetservicemgru.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - ISERVICEMANAGER

비고

 시작 프로그램(ISERVICEMANAGER) 등록 파일

 

파일 경로

 C:\WINDOWS\ismtnvnohr.exe

MD5

 0E9356E67C1077C60DC900184F8428C7

디지털 서명

 INSAFE

파일 설명

 ismtnvnohr.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ismtnvnohr

비고

 서비스(ismtnvnohr, 표시 이름 : Internet Service Manager) 등록 파일

 

  검색 도우미 : Internet Service Manager - ismuuvpshr.exe (2013.11.26)

 

INSAFE 디지털 서명이 포함된 "Internet Service Manager" 프로그램은 "C:\Program Files\Windows Internet Service Manager" 폴더와 Windows 폴더 내에 파일을 생성하며, 변종에 따라 서비스 파일과 레지스트리값은 달라질 수 있습니다.(※ Windows Vista 이상의 운영 체제에서는 예약 작업(C:\Program Files\Windows Internet Service Manager\internetservicemgrs.exe) 관련 파일이 추가되었을 것으로 추정됩니다.)

 

프로그램이 설치된 환경에서는 서비스, 시작 프로그램, 시작 프로그램 폴더 등을 통해 internetservicemgru.exe, ismtnvnohr.exe 파일을 Windows 시작시 자동 실행하며, 이를 통해 "C:\Program Files\Windows Internet Service Manager\internetservicemgr.exe" 파일을 메모리에 상주시켜 광고 기능을 수행할 것으로 추정됩니다.

 

프로그램은 기본적으로 제어판에 등록된 "Internet Service Manager" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음의 내용을 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ismtnvnohr"] 명령어를 입력 및 실행하여 서비스 등록값을 자동 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 internetservicemgr.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\internetservicemgru.lnk
  • C:\Program Files\Windows Internet Service Manager
  • C:\WINDOWS\ismtnvnohr.exe

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - ISERVICEMANAGER

"Internet Service Manager" 검색 도우미 프로그램의 이름으로는 광고 프로그램으로 인지하기 매우 어려우며, 다양한 변종을 통해 지속적으로 유포하고 있으므로 설치되지 않도록 주의하시기 바랍니다.