본문 바로가기

벌새::Analysis

검색 도우미 : Network_Modus

반응형

인터넷 검색시 특정 검색 키워드 값에 따라 자동으로 광고창을 생성하는 "인터넷 검색주소 및 검색 편의와 한국새생명복지재단 불우 이웃돕기모금 서비스 컨트롤"이라는 이름으로 배포되는 Network_Modus 검색 도우미 프로그램<SHA-1 : f20487ae5b1a0c69d993543ce20ffd42a351b01c - AhnLab V3 : PUP/Win32.Helper (VT : 23/50)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Window modus (2013.4.2)

 

  검색 도우미 : NetworkWidget (2013.12.13)

 

해당 프로그램은 기존에 유사한 기능을 가진 Window modus, NetworkWidget 검색 도우미 프로그램의 이름을 합성한 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\Network_Modus
C:\ProgramData\Network_Modus\Network_Modus.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\Network_Modus\Network_ModusService.exe :: 서비스(Network_ModusService) 등록 파일, 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\ProgramData\Network_Modus\Network_Modus.exe
 - SHA-1 : c456b673c8dfb0862de8ce5b43f5ed2292dab881
 - ESET : a variant of Win32/Adware.Kraddare.HL (VT : 6/51)

 

C:\ProgramData\Network_Modus\Network_ModusService.exe
 - SHA-1 : 15ec00a723bb603bcdc3e2925afd395ff03b7dbd
 - nProtect : Adware/W32.Agent.71152 (VT : 8/51)

"검색닷컴" 디지털 서명이 포함된 해당 프로그램은 "C:\ProgramData\Network_Modus" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 서비스 및 시작 프로그램 등록을 통해 자동 실행됩니다.

"Network_ModusService" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\Network_Modus\Network_ModusService.exe" 파일을 자동 실행하며, 이를 통해 "C:\ProgramData\Network_Modus\Network_Modus.exe" 파일을 추가 로딩하도록 구성되어 있습니다.

 

또한 추가 실행된 Network_Modus.exe 파일은 추가적으로 "Network_Modus" 시작 프로그램 항목을 통해 자동 실행되도록 등록되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Network_Modus = "C:\ProgramData\Network_Modus\Network_Modus.exe"

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Network_Modus = C:\ProgramData\Network_Modus\Network_Modus.exe

이를 통해 실행된 Network_Modus.exe 파일은 특정 서버에서 업데이트 및 실행 카운터(Counter) 체크를 수행합니다.

  • h**p://www.direct***word.co.kr/update/Windowmodus_1311270.zip (SHA-1 : bdea4900092a0049051146cf39761cd006d13ee1) - AVG : Generic5.AMYU (VT : 10/51)

참고로 테스트 당시 서버에서는 업데이트를 통해 다운로드 가능한 파일이 포함되어 있으며, 다운로드된 Windowmodus_1311270.zip 실행 파일(= Window modus.exe)은 프로그램 업데이트를 수행할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 특정 검색 키워드 값에 따라 도박, P2P, 인터넷 쇼핑몰 등 다양한 광고창이 자동으로 생성될 수 있습니다.

해당 광고 동작은 메모리에 상주하는 Network_Modus.exe, Network_ModusService.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 다음과 같은 절차에 따라 프로세스 종료를 시도하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Network_ModusService"] 명령어를 입력 및 실행하여 Network_ModusService.exe 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 Network_Modus.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 제어판에 등록된 "Network_Modus" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

참고로 제어판을 통한 프로그램 삭제시 ["C:\ProgramData\Network_Modus\Network_Modus.exe" -uninstall] 명령어를 통해 이루어지며, 이를 통해 프로그램 삭제 후 "C:\Users\(사용자 계정)\AppData\Local\Temp\Network_Modus_uninstaller.exe" 파일<SHA-1 : c456b673c8dfb0862de8ce5b43f5ed2292dab881 - ESET : a variant of Win32/Adware.Kraddare.HL (VT : 6/51)>이 생성되어 남게되므로 추가적으로 파일을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\Network_Modus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Network_Modus = "C:\ProgramData\Network_Modus\Network_Modus.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
Network_Modus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NetworkWidgetService.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Network_Modus = C:\ProgramData\Network_Modus\Network_Modus.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Network_ModusService

 

"Network_Modus" 프로그램은 이름으로는 광고 프로그램인지 쉽게 확인하기 어려우며, 인터넷 검색시 원치않는 광고창이 생성되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.

 

 

 

 

728x90
반응형
  • Chrome 2014.03.31 15:38 댓글주소 수정/삭제 댓글쓰기

    조심해야겠네요;;
    언제나 좋은 정보 감사합니다^^

  • 감사합니다

  • 오호 2014.06.05 01:26 댓글주소 수정/삭제 댓글쓰기

    이거 추가 삭제해야할 파일 정확하게 다시 알려주시면 안될까요 ㅠㅠ

    • 최근에 변종이 나와서 제어판에 표시되지 않는 것도 있는 것 같은데 한 번 찾아보겠습니다. 전체적인 삭제 방식은 이 글에서 나온대로 응용하시면 될 것 같은데..ㅠㅠ

    • 최신 유포 파일을 확인해보아도 이 글과 동일합니다. 글에 삭제 과정에 상세하게 나와 있으므로 잘 읽어보시기 바랍니다.

      참고로 일부 변종의 경우에는 아마도 C: Windows System32 config systemprofile AppData Roaming 폴더 내부에 설치될 수 있는 듯합니다.

  • 아니 속성을 대체 어떻게 들어가요?

    • 서비스 속성을 말하시는 것 같습니다? 글에서는 분석을 목적으로 접근한 것이므로 서비스 속성에 사용자가 들어가실 필요는 없습니다.

      삭제 방식의 (a) 항목을 참고하여 서비스를 종료하시고 삭제하시기 바랍니다.

  • 감사합니다 덕분에 삭제 성공했네요 에효~

  • SPT 2014.06.26 22:37 댓글주소 수정/삭제 댓글쓰기

    감사합니다
    저번에 바이러스 잘못다운받고 하나하나씩 지우는데 전부 검색할때마다 벌새님 블로그뜨네요 덕분에지우고있어요ㅋㅋ 감사합니다 바이러스 만드는사람들 골때리겠네요 이제 다지웠어요 다시한번감사합니다

  • adsfsadf 2014.07.09 22:42 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 덕분에 도움도 안되는 해만 입히는 쓰레기 청소 했네요ㅋㅋ^^
    좋은 정보 정말 고맙습니다..ㅠ

  • 오후 1시 26분 2014.07.13 13:25 댓글주소 수정/삭제 댓글쓰기

    감사합니다 매번 갑자기 팝업이 떠서 전체적으로 렉이 있었는데 해결되었습니다ㅎㅎ

  • 201486 2014.08.06 10:47 댓글주소 수정/삭제 댓글쓰기

    근데 cmd프로그램에서 액세스가 거부되었다고 나오네요. 어떻게 해야하나요?

    • 명령 프롬프트를 반드시 관리자 권한으로 실행해서 진행하시기 바라며, 제어판에서 사용자 계정 컨트롤(UAC)이 비활성화되어 있지 않나 확인하여 1단계 또는 2단계(기본값)으로 올리시고 윈도우 재부팅 후 진행해 보시기 바랍니다.

      그래도 해결 안된다면 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 Network_ModusService.exe -> Network_Modus.exe 프로세스 순서를 종료한 후 삭제를 진행하시기 바랍니다.

      이것도 안된다면 서비스 및 프로세스 종료는 생략하고 제어판에서 프로그램 삭제를 진행하셔도 됩니다.