울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows IP View (XP,Win7,Win8) - ipmpinmumsi.exe (2014.5.27)

벌새::PUP Info

 

IP 확인 프로그램처럼 위장하여 인터넷 검색시 광고창 생성 기능을 수행하는 것으로 알려진 검색 도우미 "Windows IP View (XP,Win7,Win8)" 프로그램에 대한 정보 일부가 수집되어 공개해 드리도록 하겠습니다.

 

"System Management" 변종 프로그램(SystemUpService) 정보

 

"Windows IP View (XP,Win7,Win8)" 광고 프로그램이 설치된 환경에서 발견된 광고 프로그램 배포 기능을 수행하는 것으로 추정되는 "System Management" 변종 프로그램은 수집된 정보에서는 정확한 이름은 확인되지 않고 있지만, 기존에 수집된 제휴 프로그램 정보로 추정해보면 "시스템업 서비스(SystemManager)"으로 파악되고 있습니다.

 

파일 경로

 C:\Windows\s2smumnpdsuc.exe

MD5

 F23F2BD0179808FA8D0FCBA945EBE0D3

디지털 서명

 INSAFE

파일 설명

 s2smumnpdsuc.exe

제품 이름

 Service Manager

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s2smumnpdsuc

비고

 서비스(s2smumnpdsuc, 표시 이름 : s2smumnpdsuc.exe) 등록 파일

 

"System Management" 프로그램(SystemUpService)은 기본적으로 Windows 폴더내에 다양한 파일 및 서비스 이름으로 등록되며, 이번에 확인된 변종은 "s2smumnpdsuc (표시 이름 : s2smumnpdsuc.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\s2smumnpdsuc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 특정 서버에서 업데이트 정보 등을 불러와 추가적인 프로그램 설치 등의 기능을 수행할 수 있을 것으로 추정됩니다.

 

기본적으로 제어판에 등록된 삭제 항목을 통해 삭제할 수 있으며, 현재 정확한 프로그램 이름을 알 수 없는 관계로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "s2smumnpdsuc"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) "C:\Windows\s2smumnpdsuc.exe" 파일을 찾아 삭제하시기 바랍니다.

 

참고로 유사한 기능을 가진 INSafe mode, Utility Folder, Windows Utilchango Service 등의 프로그램이 유포되고 있는 것으로 확인되고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

"Windows IP View (XP,Win7,Win8)" 변종 프로그램 정보

 

"Windows IP View (XP,Win7,Win8)" 검색 도우미 프로그램은 IP 정보를 확인할 수 있는 프로그램으로 위장하고 있으며, 기존에부터 IP Error Fix, Net Ip Information Viewer와 같은 IP 관련 프로그램으로 위장한 광고 프로그램이 발견되고 있으므로 참고하시기 바랍니다.

 

파일 경로

 C:\Program Files (x86)\Windows IPView\myipview.exe

MD5

 9AEC15A8AED1FC000F980C2BE410EAAB

파일 설명

 myipview.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\Windows IPView\myipviews.exe

MD5

 607904801571E97EAA0740699C7586A9

파일 설명

 myipviews.exe

비고

 메모리 상주 프로세스, 예약 작업(C:\Windows\Tasks\ipspinmumsi.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\Windows IPView\myipviewu.exe

MD5

 D61ECB6FCADFEC83CBB90650C13FBBF6

진단명

 PUP/Win32.IntClient (AhnLab V3)

파일 설명

 myipviewu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MYIPVIEW

비고

 시작 프로그램(MYIPVIEW) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\myipviewu.lnk) 등록 파일

 

파일 경로

 C:\Windows\ipmpinmumsi.exe

MD5

 9B3919F51A022A19BE31FB1B7B925765

파일 설명

 ipmpinmumsi.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipmpinmumsi

비고

 서비스(ipmpinmumsi, 표시 이름 : ipmpinmumsi.exe) 등록 파일

 

"Windows IP View (XP,Win7,Win8)" 프로그램은 Windows x64 운영 체제 환경에서 "C:\Program Files (x86)\Windows IPView" 폴더에 파일을 생성하며, "ipmpinmumsi (표시 이름 : ipmpinmumsi.exe)" 서비스 항목을 등록하여 시스템 시작시 자동 실행하도록 구성되어 있습니다.(※ 변종에 따라 서비스와 서비스 파일 이름은 달라질 수 있습니다.)

 

또한 Windows 시작시 "C:\Program Files (x86)\Windows IPView\myipviewu.exe" 파일을 MYIPVIEW 시작 프로그램 등록 및 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\myipviewu.lnk)에 등록하여 자동 실행하며, 이를 통해 프로그램 업데이트 체크를 하도록 구성되어 있습니다.

 

그 외에도 예약 작업 영역에 ipspinmumsi.job 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files (x86)\Windows IPView\myipviews.exe" 파일을 자동 실행하도록 되어 있습니다.

 

이를 통해 "C:\Program Files (x86)\Windows IPView\myipview.exe", "C:\Program Files (x86)\Windows IPView\myipviews.exe" 2개의 파일을 로딩하여 메모리에 상주시키며, 실행된 파일은 광고 구성값 체크 등을 통해 인터넷 검색시 광고창 생성 등의 수익 활동을 할 것으로 판단됩니다.

 

특히 프로그램 설치 및 프로그램 실행시 "C:\Program Files (x86)\Windows IPView\myipviewu.exe" 파일은 사용자 PC에서 Sysinternals Autoruns, Sysinternals Process Explorer, Sysinternals Process Monitor, Sysinternals DebugView, Sysinternals RootkitRevealer, OllyDbg, VMware, Fiddler Web Debugger, PE Explorer 등의 분석 도구를 체크하여 설치 중지 및 동작을 선별적으로 수행할 수 있을 것으로 판단됩니다.

 

프로그램 삭제는 기본적으로 제어판에 등록된 "Windows IP View (XP,Win7,Win8)" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 프로그램 삭제를 원하는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ipmpinmumsi"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 myipview.exe, myipviews.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\Windows IPView
  • C:\Windows\ipmpinmumsi.exe
  • C:\Windows\Tasks\ipspinmumsi.job
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\myipviewu.lnk

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MYIPVIEW

"Windows IP View (XP,Win7,Win8)" 검색 도우미 프로그램은 기존의 GearExtention for Windows (x86,x64), IE Support for Windows, Intelligent, Internet Service Manager, Mouse Control Client, Mouse Control Service, Network ADView, Reflection Information Client x86 또는 Windows Reflection Service, Windows GearExtion, Windows mouse protection release 등과 같은 유사한 기능을 가진 광고 프로그램의 변종이므로 참고하시기 바랍니다.

또한 AhnLab V3 보안 제품에서는 "Windows IP View (XP,Win7,Win8)" 프로그램 설치시 연결되는 서버(www.myipview.com)를 "악성 사이트 접근 차단"을 통해 파일 다운로드를 차단하고 있을 것으로 판단되므로, 다른 보안 제품 사용자의 경우에는 방화벽 또는 웹차단 목록에 해당 URL 값을 등록하시길 권장합니다.