울지않는벌새 : Security, Movie & Society

검색 도우미 : Mouse Control Service - mcsmscmssrrn.exe (2014.9.29)

벌새::PUP Info

 

마우스(Mouse) 관련 소프트웨어처럼 이름을 등록하여 바탕 화면에 다양한 바로가기 아이콘 생성 및 광고창 생성을 유발하는 "Mouse Control Service" 검색 도우미 프로그램의 변종 정보가 수집되어 관련 정보를 공개해 드리도록 하겠습니다.

 

우선 "Mouse Control Service" 광고 프로그램이 설치된 환경에서 발견될 수 있는 광고 프로그램 배포를 목적으로 제작된 SystemUpService 변종 프로그램에 대해 살펴보겠습니다.

 

SystemUpService 변종 프로그램(s2nrrsspdsuc.exe) 정보

SystemUpService 프로그램은 기존에 유사한 기능을 가진 "System Management" 프로그램이 존재하므로 참고하시기 바랍니다.

 

파일 경로

 C:\Windows\s2nrrsspdsuc.exe

MD5

 F23F2BD0179808FA8D0FCBA945EBE0D3

진단명

 Win32:Dropper-NSH [Drp] (avast!)

디지털 서명

 INSAFE

제품 이름

 Service Manager

파일 설명

 s2nrrsspdsuc.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s2nrrsspdsuc

비고

 서비스(s2nrrsspdsuc, 표시 이름 : s2nrrsspdsuc.exe) 등록 파일

 

INSAFE 디지털 서명이 포함된 SystemUpService 프로그램은 특정 서버로부터 service2.zip 압축 파일을 다운로드합니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2uninst.exe

다운로드된 압축 파일은 사용자 임시 폴더에 파일을 압축 해제한 후 Windows 폴더에 다양한 파일명으로 자가 복제되어 설치가 이루어집니다.

 

"s2nrrsspdsuc (표시 이름 : s2nrrsspdsuc.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\s2nrrsspdsuc.exe" 파일을 자동 실행하여 업데이트 서버에서 추가적으로 등록된 구성값을 체크합니다.

출처 : 네이버 지식iN

이를 통해 특정 부팅 시점에서는 이지클린, Windows Baro Visit 등의 다양한 광고 프로그램 및 제휴(스폰서) 배포 프로그램에 포함된 "업데이트 안내" 창을 생성하여 설치를 유도할 수 있으므로 주의하시기 바랍니다.(※ 해당 업데이트 창은 항상 생성되는 것이 아니라 주말과 같은 특정 시간대에만 동작할 수 있습니다.)

 

특히 System Management, SystemUpService 프로그램은 제어판의 설치 프로그램 목록에 등록하지 않는 특징으로 사용자는 프로그램 설치 여부를 쉽게 인지하지 못할 수 있으며, 대신 시작 버튼의 프로그램 목록 "SystemUpService" 이름으로 생성되어 설치 여부를 확인할 수 있습니다.

 

프로그램 삭제를 위해서는 프로그램 목록의 "SystemUpService → Uninstall" 메뉴를 실행하여 삭제하거나 "C:\Windows\s2nrrsspdsuc_uninstall.exe" 파일을 직접 실행하여 제거할 수 있습니다.

 

만약 사용자가 프로그램을 수동으로 직접 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "s2nrrsspdsuc"] 명령어를 입력 및 실행하여 서비스 등록 레지스트리 값을 자동으로 삭제하시기 바랍니다.(※ 삭제 명령어의 변수는 파일명에 종속합니다.)

(b) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService
  • C:\Windows\s2nrrsspdsuc_uninstall.exe
  • C:\Windows\s2nrrsspdsuc.exe

그러므로 Windows 부팅 이후에 이지클린 업데이트 창과 유사한 업데이트 안내창이 생성될 경우에는 버튼을 잘못 클릭하여 불필요한 프로그램(PUP)이 설치되지 않도록 각별히 주의하시기 바랍니다.

 

"Mouse Control Service" 변종 프로그램(mcsmscmssrrn.exe) 정보

"Mouse Control Service" 광고 프로그램이 설치된 환경에서는 서비스 등록 파일이 다양하게 생성되는 변종이 많이 발견되고 있으므로 참고하시기 바랍니다.

 

파일 경로

 C:\Program Files (x86)\MouseControlService\mousecontrolsvc.exe

MD5

 FDAA7E158822806359C85A73EDF898F5

진단명

 Trojan.GenericKD.1826552 (BitDefender)

제품 이름

 MouseControlService

파일 설명

 MouseControlService

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\MouseControlService\mousecontrolsvcs.exe

MD5

 8CC9CD33DFF83DED794734F29D86807D

진단명

 Gen:Variant.Adware.Symmi.42565 (BitDefender)

파일 설명

 mousecontrolsvcs.exe

비고

 예약 작업(C:\Windows\Tasks\mcssscmssrrn.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\MouseControlService\mousecontrolsvcu.exe

MD5

 1980BE4C78200EB7037149424AE8A311

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

파일 설명

 mousecontrolsvcu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSESERVICE

비고

 시작 프로그램(MOUSESERVICE) 등록 파일

 

파일 경로

 C:\Windows\mcsmscmssrrn.exe

MD5

 C2E64DDB98BA18DEB7422F01EA7B986D

진단명

 Generic5.AUPH (AVG)

파일 설명

 mcsmscmssrrn.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcsmscmssrrn

비고

 서비스(mcsmscmssrrn, 표시 이름 : mcsmscmssrrn.exe) 등록 파일

 

"Mouse Control Service" 광고 프로그램은 x64 비트 운영 체제 기준으로 "C:\Program Files (x86)\MouseControlService" 폴더와 Windows 폴더 내에 다양한 파일명으로 설치가 이루어지고 있습니다.(※ 기존과 달리 생성 파일에는 디지털 서명이 제거되어 있는 것이 특징입니다.)

 

프로그램이 설치된 환경에서는 서비스<mcsmscmssrrn (표시 이름 : mcsmscmssrrn.exe)>, 시작 프로그램(MOUSESERVICE), 예약 작업(mcssscmssrrn.job) 영역에 등록하여 시스템 시작시 프로그램이 자동 실행되도록 등록되어 있습니다.

 

이를 통해 추가적으로 특정 서버로부터 광고 모듈을 ZIP 압축 파일 형태로 다운로드하여 "C:\Program Files (x86)\MouseControlService\cloudwebsearch_donkeycodec.dll" 파일을 생성할 수 있습니다.

 

이를 통해 바탕 화면에는 다양한 바로가기 아이콘 생성, 인터넷 검색 및 웹 사이트 접속 등의 과정에서 광고창 생성이 이루어질 수 있습니다.

 

해당 프로그램은 기본적으로 제어판에 등록된 "Mouse Control Service" 삭제 항목을 이용하여 삭제할 수 있지만, 일부 PC 환경에서는 제어판에 표시되지 않는 형태로 설치가 이루어질 수 있는 것으로 보입니다.

 

그러므로 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcsmscmssrrn"] 명령어를 입력 및 실행하여 서비스 등록 레지스트리 값을 자동으로 삭제하시기 바랍니다.(※ 삭제 명령어의 변수는 Windows 폴더 내에 생성된 파일명에 종속합니다.)

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 mousecontrolsvc.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Program Files (x86)\MouseControlService
  • C:\Windows\mcsmscmssrrn.exe
  • C:\Windows\Tasks\mcssscmssrrn.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - MOUSESERVICE

"Mouse Control Service" 광고 프로그램은 자신의 동작을 분석하는 것을 방해할 목적으로 가상화 프로그램 및 분석 도구가 설치된 환경에서는 설치가 이루어지지 않거나 설치되어도 광고 동작을 수행하지 않을 수 있습니다.

그러므로 기존에 해당 광고 프로그램 운영 조직에서 배포하는 유사한 광고 프로그램의 설치 및 광고 동작을 방해하는 방법을 참고하여 추가적인 소프트웨어 설치를 하시길 권장합니다.