인터넷 검색시 특정 검색 키워드 값에 따라 자동으로 광고창을 생성하는 "인터넷 검색주소 및 검색 편의와 한국새생명복지재단 불우 이웃돕기모금 서비스 컨트롤"이라는 이름으로 배포되는 Network_Modus 검색 도우미 프로그램<SHA-1 : f20487ae5b1a0c69d993543ce20ffd42a351b01c - AhnLab V3 : PUP/Win32.Helper (VT : 23/50)>에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Window modus (2013.4.2)
▷ 검색 도우미 : NetworkWidget (2013.12.13)
해당 프로그램은 기존에 유사한 기능을 가진 Window modus, NetworkWidget 검색 도우미 프로그램의 이름을 합성한 변종이므로 참고하시기 바랍니다.
C:\ProgramData\Network_Modus
C:\ProgramData\Network_Modus\Network_Modus.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\Network_Modus\Network_ModusService.exe :: 서비스(Network_ModusService) 등록 파일, 메모리 상주 프로세스
C:\ProgramData\Network_Modus\Network_Modus.exe
- SHA-1 : c456b673c8dfb0862de8ce5b43f5ed2292dab881
- ESET : a variant of Win32/Adware.Kraddare.HL (VT : 6/51)
C:\ProgramData\Network_Modus\Network_ModusService.exe
- SHA-1 : 15ec00a723bb603bcdc3e2925afd395ff03b7dbd
- nProtect : Adware/W32.Agent.71152 (VT : 8/51)
"검색닷컴" 디지털 서명이 포함된 해당 프로그램은 "C:\ProgramData\Network_Modus" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 서비스 및 시작 프로그램 등록을 통해 자동 실행됩니다.
"Network_ModusService" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\Network_Modus\Network_ModusService.exe" 파일을 자동 실행하며, 이를 통해 "C:\ProgramData\Network_Modus\Network_Modus.exe" 파일을 추가 로딩하도록 구성되어 있습니다.
또한 추가 실행된 Network_Modus.exe 파일은 추가적으로 "Network_Modus" 시작 프로그램 항목을 통해 자동 실행되도록 등록되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Network_Modus = "C:\ProgramData\Network_Modus\Network_Modus.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Network_Modus = C:\ProgramData\Network_Modus\Network_Modus.exe
이를 통해 실행된 Network_Modus.exe 파일은 특정 서버에서 업데이트 및 실행 카운터(Counter) 체크를 수행합니다.
- h**p://www.direct***word.co.kr/update/Windowmodus_1311270.zip (SHA-1 : bdea4900092a0049051146cf39761cd006d13ee1) - AVG : Generic5.AMYU (VT : 10/51)
참고로 테스트 당시 서버에서는 업데이트를 통해 다운로드 가능한 파일이 포함되어 있으며, 다운로드된 Windowmodus_1311270.zip 실행 파일(= Window modus.exe)은 프로그램 업데이트를 수행할 수 있습니다.
프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 특정 검색 키워드 값에 따라 도박, P2P, 인터넷 쇼핑몰 등 다양한 광고창이 자동으로 생성될 수 있습니다.
해당 광고 동작은 메모리에 상주하는 Network_Modus.exe, Network_ModusService.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 다음과 같은 절차에 따라 프로세스 종료를 시도하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Network_ModusService"] 명령어를 입력 및 실행하여 Network_ModusService.exe 프로세스를 자동 종료하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 Network_Modus.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 제어판에 등록된 "Network_Modus" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.
참고로 제어판을 통한 프로그램 삭제시 ["C:\ProgramData\Network_Modus\Network_Modus.exe" -uninstall] 명령어를 통해 이루어지며, 이를 통해 프로그램 삭제 후 "C:\Users\(사용자 계정)\AppData\Local\Temp\Network_Modus_uninstaller.exe" 파일<SHA-1 : c456b673c8dfb0862de8ce5b43f5ed2292dab881 - ESET : a variant of Win32/Adware.Kraddare.HL (VT : 6/51)>이 생성되어 남게되므로 추가적으로 파일을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\Network_Modus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Network_Modus = "C:\ProgramData\Network_Modus\Network_Modus.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
Network_Modus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NetworkWidgetService.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Network_Modus = C:\ProgramData\Network_Modus\Network_Modus.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Network_ModusService
"Network_Modus" 프로그램은 이름으로는 광고 프로그램인지 쉽게 확인하기 어려우며, 인터넷 검색시 원치않는 광고창이 생성되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.
☞ 검색 도우미 : 다이렉트키워드(DirectKeyword) (2011.6.24)
☞ 검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2 (2011.8.11)
☞ <Right Security Blog> 검색 도우미 : DirectKeyword2 - DirectKeywordUpdateService (2013.3.23)
조심해야겠네요;;
언제나 좋은 정보 감사합니다^^
감사합니다
고맙습니다.^^
이거 추가 삭제해야할 파일 정확하게 다시 알려주시면 안될까요 ㅠㅠ
최근에 변종이 나와서 제어판에 표시되지 않는 것도 있는 것 같은데 한 번 찾아보겠습니다. 전체적인 삭제 방식은 이 글에서 나온대로 응용하시면 될 것 같은데..ㅠㅠ
최신 유포 파일을 확인해보아도 이 글과 동일합니다. 글에 삭제 과정에 상세하게 나와 있으므로 잘 읽어보시기 바랍니다.
참고로 일부 변종의 경우에는 아마도 C: Windows System32 config systemprofile AppData Roaming 폴더 내부에 설치될 수 있는 듯합니다.
아니 속성을 대체 어떻게 들어가요?
서비스 속성을 말하시는 것 같습니다? 글에서는 분석을 목적으로 접근한 것이므로 서비스 속성에 사용자가 들어가실 필요는 없습니다.
삭제 방식의 (a) 항목을 참고하여 서비스를 종료하시고 삭제하시기 바랍니다.
감사합니다 덕분에 삭제 성공했네요 에효~
고생하셨습니다.ㅠㅠ
감사합니다
저번에 바이러스 잘못다운받고 하나하나씩 지우는데 전부 검색할때마다 벌새님 블로그뜨네요 덕분에지우고있어요ㅋㅋ 감사합니다 바이러스 만드는사람들 골때리겠네요 이제 다지웠어요 다시한번감사합니다
고생하셨습니다. 이런 프로그램 설치되지 않도록 신경쓰세요.ㅠㅠ
감사합니다. 덕분에 도움도 안되는 해만 입히는 쓰레기 청소 했네요ㅋㅋ^^
좋은 정보 정말 고맙습니다..ㅠ
도움이 되셨다니 감사합니다.^^
감사합니다 매번 갑자기 팝업이 떠서 전체적으로 렉이 있었는데 해결되었습니다ㅎㅎ
고생하셨습니다.
근데 cmd프로그램에서 액세스가 거부되었다고 나오네요. 어떻게 해야하나요?
명령 프롬프트를 반드시 관리자 권한으로 실행해서 진행하시기 바라며, 제어판에서 사용자 계정 컨트롤(UAC)이 비활성화되어 있지 않나 확인하여 1단계 또는 2단계(기본값)으로 올리시고 윈도우 재부팅 후 진행해 보시기 바랍니다.
그래도 해결 안된다면 Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 Network_ModusService.exe -> Network_Modus.exe 프로세스 순서를 종료한 후 삭제를 진행하시기 바랍니다.
이것도 안된다면 서비스 및 프로세스 종료는 생략하고 제어판에서 프로그램 삭제를 진행하셔도 됩니다.