마우스(Mouse) 관련 소프트웨어처럼 이름을 등록하여 바탕 화면에 다양한 바로가기 아이콘 생성 및 광고창 생성을 유발하는 "Mouse Control Service" 검색 도우미 프로그램의 변종 정보가 수집되어 관련 정보를 공개해 드리도록 하겠습니다.
우선 "Mouse Control Service" 광고 프로그램이 설치된 환경에서 발견될 수 있는 광고 프로그램 배포를 목적으로 제작된 SystemUpService 변종 프로그램에 대해 살펴보겠습니다.
■ SystemUpService 변종 프로그램(s2nrrsspdsuc.exe) 정보
SystemUpService 프로그램은 기존에 유사한 기능을 가진 "System Management" 프로그램이 존재하므로 참고하시기 바랍니다.
파일 경로 |
C:\Windows\s2nrrsspdsuc.exe |
MD5 |
F23F2BD0179808FA8D0FCBA945EBE0D3 |
진단명 |
Win32:Dropper-NSH [Drp] (avast!) |
디지털 서명 |
INSAFE |
제품 이름 |
Service Manager |
파일 설명 |
s2nrrsspdsuc.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s2nrrsspdsuc |
비고 |
서비스(s2nrrsspdsuc, 표시 이름 : s2nrrsspdsuc.exe) 등록 파일 |
INSAFE 디지털 서명이 포함된 SystemUpService 프로그램은 특정 서버로부터 service2.zip 압축 파일을 다운로드합니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\service2uninst.exe
다운로드된 압축 파일은 사용자 임시 폴더에 파일을 압축 해제한 후 Windows 폴더에 다양한 파일명으로 자가 복제되어 설치가 이루어집니다.
"s2nrrsspdsuc (표시 이름 : s2nrrsspdsuc.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\s2nrrsspdsuc.exe" 파일을 자동 실행하여 업데이트 서버에서 추가적으로 등록된 구성값을 체크합니다.
출처 : 네이버 지식iN
이를 통해 특정 부팅 시점에서는 이지클린, Windows Baro Visit 등의 다양한 광고 프로그램 및 제휴(스폰서) 배포 프로그램에 포함된 "업데이트 안내" 창을 생성하여 설치를 유도할 수 있으므로 주의하시기 바랍니다.(※ 해당 업데이트 창은 항상 생성되는 것이 아니라 주말과 같은 특정 시간대에만 동작할 수 있습니다.)
특히 System Management, SystemUpService 프로그램은 제어판의 설치 프로그램 목록에 등록하지 않는 특징으로 사용자는 프로그램 설치 여부를 쉽게 인지하지 못할 수 있으며, 대신 시작 버튼의 프로그램 목록 "SystemUpService" 이름으로 생성되어 설치 여부를 확인할 수 있습니다.
프로그램 삭제를 위해서는 프로그램 목록의 "SystemUpService → Uninstall" 메뉴를 실행하여 삭제하거나 "C:\Windows\s2nrrsspdsuc_uninstall.exe" 파일을 직접 실행하여 제거할 수 있습니다.
만약 사용자가 프로그램을 수동으로 직접 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "s2nrrsspdsuc"] 명령어를 입력 및 실행하여 서비스 등록 레지스트리 값을 자동으로 삭제하시기 바랍니다.(※ 삭제 명령어의 변수는 파일명에 종속합니다.)
(b) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService
- C:\Windows\s2nrrsspdsuc_uninstall.exe
- C:\Windows\s2nrrsspdsuc.exe
그러므로 Windows 부팅 이후에 이지클린 업데이트 창과 유사한 업데이트 안내창이 생성될 경우에는 버튼을 잘못 클릭하여 불필요한 프로그램(PUP)이 설치되지 않도록 각별히 주의하시기 바랍니다.
■ "Mouse Control Service" 변종 프로그램(mcsmscmssrrn.exe) 정보
"Mouse Control Service" 광고 프로그램이 설치된 환경에서는 서비스 등록 파일이 다양하게 생성되는 변종이 많이 발견되고 있으므로 참고하시기 바랍니다.
파일 경로 |
C:\Program Files (x86)\MouseControlService\mousecontrolsvc.exe |
MD5 |
FDAA7E158822806359C85A73EDF898F5 |
진단명 |
Trojan.GenericKD.1826552 (BitDefender) |
제품 이름 |
MouseControlService |
파일 설명 |
MouseControlService |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\MouseControlService\mousecontrolsvcs.exe |
MD5 |
8CC9CD33DFF83DED794734F29D86807D |
진단명 |
Gen:Variant.Adware.Symmi.42565 (BitDefender) |
파일 설명 |
mousecontrolsvcs.exe |
비고 |
예약 작업(C:\Windows\Tasks\mcssscmssrrn.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\MouseControlService\mousecontrolsvcu.exe |
MD5 |
1980BE4C78200EB7037149424AE8A311 |
진단명 |
PUP/Win32.IntClient (AhnLab V3 365 Clinic) |
파일 설명 |
mousecontrolsvcu.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - MOUSESERVICE |
비고 |
시작 프로그램(MOUSESERVICE) 등록 파일 |
파일 경로 |
C:\Windows\mcsmscmssrrn.exe |
MD5 |
C2E64DDB98BA18DEB7422F01EA7B986D |
진단명 |
Generic5.AUPH (AVG) |
파일 설명 |
mcsmscmssrrn.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcsmscmssrrn |
비고 |
서비스(mcsmscmssrrn, 표시 이름 : mcsmscmssrrn.exe) 등록 파일 |
"Mouse Control Service" 광고 프로그램은 x64 비트 운영 체제 기준으로 "C:\Program Files (x86)\MouseControlService" 폴더와 Windows 폴더 내에 다양한 파일명으로 설치가 이루어지고 있습니다.(※ 기존과 달리 생성 파일에는 디지털 서명이 제거되어 있는 것이 특징입니다.)
프로그램이 설치된 환경에서는 서비스<mcsmscmssrrn (표시 이름 : mcsmscmssrrn.exe)>, 시작 프로그램(MOUSESERVICE), 예약 작업(mcssscmssrrn.job) 영역에 등록하여 시스템 시작시 프로그램이 자동 실행되도록 등록되어 있습니다.
이를 통해 추가적으로 특정 서버로부터 광고 모듈을 ZIP 압축 파일 형태로 다운로드하여 "C:\Program Files (x86)\MouseControlService\cloudwebsearch_donkeycodec.dll" 파일을 생성할 수 있습니다.
이를 통해 바탕 화면에는 다양한 바로가기 아이콘 생성, 인터넷 검색 및 웹 사이트 접속 등의 과정에서 광고창 생성이 이루어질 수 있습니다.
해당 프로그램은 기본적으로 제어판에 등록된 "Mouse Control Service" 삭제 항목을 이용하여 삭제할 수 있지만, 일부 PC 환경에서는 제어판에 표시되지 않는 형태로 설치가 이루어질 수 있는 것으로 보입니다.
그러므로 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "mcsmscmssrrn"] 명령어를 입력 및 실행하여 서비스 등록 레지스트리 값을 자동으로 삭제하시기 바랍니다.(※ 삭제 명령어의 변수는 Windows 폴더 내에 생성된 파일명에 종속합니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 mousecontrolsvc.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Program Files (x86)\MouseControlService
- C:\Windows\mcsmscmssrrn.exe
- C:\Windows\Tasks\mcssscmssrrn.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- MOUSESERVICE
"Mouse Control Service" 광고 프로그램은 자신의 동작을 분석하는 것을 방해할 목적으로 가상화 프로그램 및 분석 도구가 설치된 환경에서는 설치가 이루어지지 않거나 설치되어도 광고 동작을 수행하지 않을 수 있습니다.
그러므로 기존에 해당 광고 프로그램 운영 조직에서 배포하는 유사한 광고 프로그램의 설치 및 광고 동작을 방해하는 방법을 참고하여 추가적인 소프트웨어 설치를 하시길 권장합니다.