본문 바로가기

벌새::Analysis

삭제를 방해하는 "Internet Explorer Distribution Of Earnings - ProVersion + Retain" 광고 프로그램 정보 (2014.5.21)

"외국어 자동번역 검색 수익분배 시스템"으로 표시된 프로그램 설치를 통해 광고 기능을 수행하는 "Internet Explorer Distribution Of Earnings" 검색 도우미 프로그램이 최근 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 방식으로 설치가 이루어지고 있는 변종<SHA-1 : 81ddc78a5263f5291c798d8c83da9ab72db6a5bd - AhnLab V3 : PUP/Win32.MicroLab.R102356 (VT : 11/52)> 유포 사례를 확인하였습니다.

 

참고로 "Internet Explorer Distribution Of Earnings" 프로그램은 외국어 번역 기능은 존재하지 않는 광고 프로그램이므로 속지 않도록 주의하시기 바랍니다.

 

프로그램 설치 과정을 살펴보면 배포 파일이 다운로드되어 실행되면 다음과 같은 3개의 파일을 생성합니다.

 

  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe
  • C:\Windows\System32\MSINET.OCX
  • C:\Windows\System32\VB6KO.DLL

생성된 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe" 파일은 특정 서버에서 추가적인 정보를 체크하여 "Internet Explorer Distribution Of Earnings" 프로그램 관련 파일들을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion" 폴더에 설치를 진행합니다.

 

  • h**p://220.73.162.*/Download/Uninstall_Ctr.exe (SHA-1 : 7bda56de2b09009bc4212b78c03268f16be9f4b5) :: (= Uninstaller.exe)
  • h**p://220.73.162.*/Download/WinCtrCon.exe (SHA-1 : de9bf8f0163c7760c9f0abc286a9e644bb85d49e) - BitDefender : Gen:Variant.Adware.Kazy.281894 (VT : 25/53)
  • h**p://220.73.162.*/Download/WinCtrProc.exe (SHA-1 : e3d4b3dc95915221faf4058e2f359913500aaf03) - AhnLab V3 : PUP/Win32.MicroNames.C310866 (VT : 21/52)
[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe :: 시작 프로그램(WinCtrCon) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe :: 시작 프로그램(WinCtrProc) 등록 파일, 메모리 상주 프로세스

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe

C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe
 - SHA-1 : de9bf8f0163c7760c9f0abc286a9e644bb85d49e
 - BitDefender : Gen:Variant.Adware.Kazy.281894 (VT : 25/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe
 - SHA-1 : e3d4b3dc95915221faf4058e2f359913500aaf03
 - AhnLab V3 : PUP/Win32.MicroNames.C310866 (VT : 21/52)

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVision\WinCtrCon.exe
 - SHA-1 : c67c4f526bd99c72f5eb80e3963905f3fed70b1c
 - avast! : Win32:Adware-ADK [PUP] (VT : 20/52)

"MicroNames Ltd." 디지털 서명이 포함된 "Internet Explorer Distribution Of Earnings" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion" 폴더에 파일을 생성하며, Windows 시작시 다음과 같은 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

  • WinCtrCon = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -wQHxLWEE
  • WinCtrProc = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -wQHxLWEE

1. WinCtrCon 시작 프로그램 등록값

 

Windows 시작시 WinCtrCon 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -wQHxLWEE" 파일을 자동 실행하며, 실행된 파일은 특정 서버 정보와 WinCtrProc.exe 파일 버전을 체크합니다.

 

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe" 파일을 실행하여 메모리에 상주시킵니다.

 

2. WinCtrProc 시작 프로그램 등록값

 

Windows 시작시 WinCtrProc 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -wQHxLWEE" 파일을 자동 실행하며, 실행된 파일은 광고 구성값 체크 후 메모리에 상주합니다.

이후 8분이 경과하면 WinCtrProc.exe 파일은 특정 서버에서 업데이트 정보를 체크하여 추가적인 파일 다운로드를 통한 프로그램 설치를 진행합니다.

 

  • h**p://220.73.162.*/Download/Uninstall_Ctr.exe (SHA-1 : 7bda56de2b09009bc4212b78c03268f16be9f4b5) :: (= Uninstaller.exe)
  • h**p://220.73.162.*/Download/RetainPt.exe (SHA-1 : 9dc0649398db5f3708791d81634cb4fdd9642392) - BitDefender : Gen:Variant.Adware.Graftor.114868 (VT : 20/52)
[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainComp.exe
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe :: 시작 프로그램(RetainGard) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall
C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall\Uninstaller.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainComp.exe
 - SHA-1 : 8d2ef4a7533654815a22ab8e6a7b46e08ad79700
 - ESET : a variant of Win32/Adware.Hebogo.A (VT : 22/53)

 

C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe
 - SHA-1 : 9dc0649398db5f3708791d81634cb4fdd9642392
 - BitDefender : Gen:Variant.Adware.Graftor.114868 (VT : 20/52)

"MicroNames Ltd." 디지털 서명이 포함된 Retain 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain" 폴더에 파일을 생성하며, Windows 시작시 RetainGard 시작 프로그램 등록을 통해 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe -wQHxLWEE" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 RetainPt.exe 파일은 특정 서버에서 프로그램 업데이트 정보를 체크하여 다음과 같은 파일을 다운로드하여 생성 및 패치를 진행할 수 있습니다.

 

  • h**p://220.73.162.*/Download/RetainComp.exe (SHA-1 : 8d2ef4a7533654815a22ab8e6a7b46e08ad79700) - ESET : a variant of Win32/Adware.Hebogo.A (VT : 22/53)

Retain 프로그램은 실제적인 광고 기능은 수행하지 않지만 시스템 시작시 자동 실행되어 업데이트 체크를 통해 기존에 설치된 프로그램의 재설치 기능을 수행할 것으로 판단됩니다.

 

3. 광고 기능

 

"Internet Explorer Distribution Of Earnings" 프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 특정 웹 사이트에 접속하여 조건을 만족시킬 경우 자동으로 광고창을 생성할 수 있습니다.

예를 들어 한게임(HanGame) 웹 사이트에 접속 후 회원 가입 페이지에 접속할 경우 메모리에 상주하는 WinCtrProc.exe 프로세스는 URL 값을 감시하여 광고창을 생성할 수 있습니다.

특히 생성된 광고창은 마치 한게임(HanGame)에서 제공하는 휴대폰 번호 도용 방지 서비스로 오해를 유발할 수 있다는 점에서 주의가 요구됩니다.

또 다른 광고 유형으로는 포털 사이트에서 인터넷 검색시 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.

 

4. 프로그램 삭제 방법

 

"Internet Explorer Distribution Of Earnings" 프로그램은 기존의 분석과는 다르게 프로그램 설치시 제어판의 "프로그램 제거 또는 변경" 목록에 등록하지 않는 수법으로 사용자에 의한 프로그램 삭제를 방해하고 있는 것으로 파악되고 있습니다.(※ 해당 프로그램은 기존의 "Micronames Multi Language Convert Service" 프로그램 배포시에도 제어판에 등록하지 않거나 삭제시 오류를 유발하는 방식으로 삭제를 방해하는 사례가 발견되고 있었습니다.)

  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\Uninstall\Uninstaller.exe

해당 프로그램 생성 폴더 내부에는 2개의 삭제 파일이 존재하지만 해당 파일들은 모두 동일한 파일이므로 사용자가 해당 파일을 찾아 직접 실행을 통해 프로그램 삭제를 진행할 수 있습니다.

 

(a) Windows 작업 관리자를 실행하여 WinCtrProc.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe" 파일을 찾아 직접 실행하시기 바랍니다.

파일 실행을 하면 "외국어 자동번역 검색 수익분배 시스템" 창이 생성되며, "프로그램 삭제" 버튼을 클릭하여 생성된 메시지창의 안내에 따라 삭제를 진행하시기 바라며 프로그램 삭제가 완료된 후에는 "프로그램 닫기" 버튼을 클릭하시면 종료됩니다.

 

프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더를 찾아 직접 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - RetainGard = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\Retain\RetainPt.exe -EPyxkX
 - WinCtrCon = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe -BWMDRbKK
HKEY_CURRENT_USER\Software\RetainGard
HKEY_CURRENT_USER\Software\WinCtrView
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WinCtrProc = C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe -BWMDRbKK

 

"Internet Explorer Distribution Of Earnings" 검색 도우미 프로그램은 존재하지도 않는 외국어 자동 번역 프로그램처럼 사용자를 기만하여 설치를 유도하며, 설치된 프로그램은 제어판에 등록하지 않는 방식으로 자신을 숨긴 상태로 광고 기능을 수행하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

 
  • 감사합니다ㅠㅠ 2014.08.06 20:56 댓글주소 수정/삭제 댓글쓰기

    이거 못 삭제해서 해매고있었는데 너무 감사해요 ㅠㅠㅠ

  • 감사합니다 2015.01.11 16:13 댓글주소 수정/삭제 댓글쓰기

    아 정말 감사합니다. 다른 방법도 찾아봤는데 다 이상하더라고요 믿음직스럽지 않고..덕분에 지웠습니다 ㅠㅠ

  • 씨에시에 2015.02.14 10:33 댓글주소 수정/삭제 댓글쓰기

    드라이버 파일 하나 잘못깔아서 정말 개고생 했어요 ㅜㅜㅜ
    제어판에서 이상한거 다 지워도 계속해서 떠서 미치는줄 알았는데
    정말 고맙습니다^^

  • 애드웨어 2015.03.03 22:00 댓글주소 수정/삭제 댓글쓰기

    안녕하세요 해당 애드웨어가 깔려서 고생하다가 겨우겨우 uninstaller를 찾아서 제거를 하려고 하는데 올바른 윈도우 32 어플리케이션이 아니라면서 실행이 거부되네요 제가 윈7 64비트를 써서 생기는 오류인지 아니면 저 애드웨어가 uninstaller로 제거가 안되게 진화된건지 모르겠습니다만 결국 저는 저 애드웨어를 지우지 못하고 있네요...

    • 64비트 환경에서 삭제가 제대로 이루어지지 않는가 봅니다. 이런 문제는 광고 프로그램의 품질이 저품질이라서 그런게 아닌가 싶습니다.

      그러므로 생성된 폴더(파일), 레지스트리 값을 참고하여 직접 삭제하는 방법 외에는 없습니다.

      64비트 환경에서 삭제되지 않는 문제는 개인적으로 확인해 보도록 하겠습니다.

  • ㅠㅠ 2015.05.13 14:22 댓글주소 수정/삭제 댓글쓰기

    winctrproc을 삭제하기 위해 표기된 대로 uninstaller를 찾았는데 얘만 0바이트고 win32 응용 프로그램이 아니라며 실행이 안되네요;
    윈7 64비트라 그런거같은데 어떻게 해결할수있을까요 ㅠㅠ

  • 감사합니다. 2015.06.14 13:32 댓글주소 수정/삭제 댓글쓰기

    와 벌새님덕에 정말 여러번 많은 도움 받고있습니다.
    늦었지만 감사인사 드립니다 ^^

  • uninstall을 하려 했는데 lnvalid start mode: archive filename 이라고 뜹니다 ㅠㅠ 어떻게 해야 하나요?ㅠ

    • 삭제 기능을 통해 해결 안될 경우에는 생성 폴더(파일), 레지스트리 값을 직접 찾아서 삭제하시거나 MZK 도구(블로그 우측 사이드 배너 참고)를 이용해 보시기 바랍니다.

  • 정말 감사한 한 사람 2015.12.01 19:15 댓글주소 수정/삭제 댓글쓰기

    진짜 좋은일 하시는 것 같네요 ㅠㅠ 원래 평소에 이런 애드웨어는 프로그램 추가제거에서 다 끝났는데 이번껀 거기서도 안되고 제 백신에서도 안잡히고 찾을 방도가 하나도 없다가 진짜진짜 우연히 고클린 서비스 관리에서 이상한놈이 있길래 검색해서 간신히 잡았네요.. 이런 야비한 프로그램 ㅠ

  • 벌새님, 알려주신방법대로 했는데요
    Roaming폴더까지는 뜨는데 그 폴더 들어가면 winctrview는 표시되지 않아요.. 숨김파일폴더 허용도 했는데 안보이네요ㅠ 이럴경우 직접 삭제를 어떻게 해야할가요? 전 윈도우7쓰고있습니다!

    • 폴더 옵션에서 "보호된 운영 체제 파일 숨기기" 항목의 체크를 해제한 후에도 표시되지 않는다면 이 프로그램에서 언급하는 폴더는 없습니다.

      혹시 숨어있는 광고 프로그램을 확인하기 원하신다면 http://hummingbird.tistory.com/notice/4859 내용을 확인하시고 run 파일을 제작해서 보내주시면 확인해 보겠습니다.

  • 유ㅠ유 2016.02.22 01:06 댓글주소 수정/삭제 댓글쓰기

    작업관리자가서 프로세스 종료하구 외국어 자동번역프로그램 삭제하는거까지했는데 폴더가 삭제가 불가능하데요 자꾸 다른프로그램에서 실행중이라고 복구한다고만 뜨네요 ㅠㅠㅠ
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    여기서 WinCtrCon 파일을지워도 계속 생기구요 ㅠㅠㅠ 레지스트리 저기적혀있는 경로로 다찾아서 지웠는데두 그러네요 ㅠ 힝 제가 뭘 잘못 한걸까요

  • 유ㅠ유 2016.02.23 00:57 댓글주소 수정/삭제 댓글쓰기

    재부팅하구 처음 부터 차근차근 다시해봤어요! 다 삭제하구 다시부팅하니까 없어졌어요 ㅠㅠㅠ 정말정말루 감사드려요 벌새님덕에 이제마음놓고 노트북켜요 올해 좋은일만 가득하시길바라요 깜사해용~