광고 프로그램 문제로 인하여 Runscanner 프로그램을 이용하여 문의가 들어오는 run 파일을 살펴보던 중 해외에서 제작된 광고 프로그램 세트가 지속적으로 발견되어 일부 정보를 공개해 드리도록 하겠습니다.

 

해당 해외 광고 프로그램은 최소 3~4종이 함께 설치가 이루어지는 경우가 많은 것으로 보이며, 다양한 변종에 따라 제어판에 등록되는 프로그램 이름이 다르거나 또는 제어판에 표시되지 않는 경우도 발견되고 있습니다.

 

IePluginService12.27.0.3326 변종 프로그램 정보

 

파일 경로

 C:\ProgramData\IePluginServices\PluginService.exe

MD5

 5E0C29FCD859AB8D5B1C859F034D8F2F

진단명

 not-a-virus:AdWare.Win32.Agent.eqwa (Kaspersky)

디지털 서명

 Zhang Ling

제품 이름

 IePlugin control

파일 설명

 IePlugin Service

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IePluginServices

비고

 서비스(IePluginServices, 표시 이름 : IePlugin Service) 등록 파일, 메모리 상주 프로세스

유효하지 않는 "Zhang Ling" 디지털 서명이 포함된 IePluginService12.27.0.3326 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\IePluginServices" 폴더에 파일을 생성합니다.

 

"IePluginServices (표시 이름 : IePlugin Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\IePluginServices\PluginService.exe" 파일을 자동으로 실행하여 업데이트 체크 후 메모리에 상주하도록 구성되어 있습니다.

 

해외 정보를 참고해보면 IePluginService 계열 광고 프로그램이 설치된 환경에서는 웹 브라우저 이용시 광고 배너 생성 및 새 탭을 오픈하는 과정에서 자동으로 특정 웹 사이트로 연결이 이루어질 수 있는 것으로 보입니다.

 

또한 업데이트를 통한 변종에 따라서 프로그램 이름이 다양하게 등록될 수 있으며(※ 예시 : IePluginService12.27.0.3413 등), SupTab 광고 프로그램이 필수적으로 함께 설치되는 것으로 판단됩니다.

 

프로그램 삭제를 위해서는 제어판을 통해 삭제가 어려울 경우에는 다음과 같은 절차에 따라 수동으로 제거를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 PluginService.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "IePluginServices"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

(c) Internet Explorer 웹 브라우저 및 모든 프로그램을 종료한 상태를 "C:\ProgramData\IePluginServices" 폴더를 찾아 삭제하시기 바랍니다.

 

SupTab 프로그램 정보

 

파일 경로

 C:\Program Files (x86)\SupTab\HpUI.exe

MD5

 112854FD524F472159E8F32548A7F62D

진단명

 ZhangLing.AA0 (AVG)

디지털 서명

 Zhang Ling

파일 설명

 HpUI.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\SupTab\Loader32.exe

MD5

 D46415CD75DDA09F0A17D2FDA2235CB0

진단명

 ADW_BATPUS (Trend Micro)

파일 설명

 Loader32.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\SupTab\Loader64.exe

MD5

 09B9B6C0F8277A86CC8F4D66AEAAB762

진단명

 Generic PUP.y (McAfee)

파일 설명

 Loader64.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll

MD5

 26CB4C81439D8297DF2EDCAF20A99905

진단명

 Adware.SearchProtect.H (BitDefender)

디지털 서명

 Zhang Ling

비고

 실행 모듈

 

파일 경로

 C:\Program Files (x86)\SupTab\WindowsSupportDll64.dll

MD5

 9487BC04EE849C3DAB9A2002D08A64F5

진단명

 not-a-virus:AdWare.Win64.Agent.f (Kaspersky)

디지털 서명

 Zhang Ling

비고

 실행 모듈


유효하지 않는 "Zhang Ling" 디지털 서명이 포함된 SupTab 광고 프로그램은 "C:\Program Files (x86)\SupTab" 폴더에 파일을 생성합니다.

 

확인되지 않는 자동 실행 방식을 통해 HpUI.exe, Loader32.exe, Loader64.exe 프로세스를 메모리에 상주시키며, 사용자가 웹 브라우저를 사용하는 과정에서 WindowsSupportDll32.dll, WindowsSupportDll64.dll 광고 모듈을 추가 로딩하여 광고창 생성 등의 동작을 수행할 수 있는 것으로 추정됩니다.

 

기본적으로 프로그램 삭제를 위해서는 제어판에 등록된 "SupTab" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 제거를 진행하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 HpUI.exe, Loader32.exe, Loader64.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\Program Files (x86)\SupTab" 폴더를 찾아 삭제하시기 바랍니다.

 

WindowsMangerProtect20.0.0.722 변종 프로그램 정보

 

파일 경로

 C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe

MD5

 357A3A310BC75B9B57A7292847896015

진단명

 Adware.Agent.ODR (BitDefender)

제품 이름

 WindowsProtectManger control

파일 설명

 WindowsProtectManger Service

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsMangerProtect

비고

 서비스(WindowsMangerProtect, 표시 이름 : WindowsProtectManger Service) 등록 파일, 메모리 상주 프로세스


WindowsMangerProtect20.0.0.722 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\WindowsMangerProtect" 폴더에 파일을 생성합니다.

 

"WindowsMangerProtect (표시 이름 : WindowsProtectManger Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

 

해당 프로그램은 기존에 유사한 기능을 제공하는 WPM17.8.0.3159, WPM20.0.0.502 등의 다양한 변종 프로그램이 존재하였던 것으로 보이며, 기본적으로 특정 제휴(광고) 프로그램에 대한 보호 기능이 포함되어 있을 것으로 추정됩니다.

 

기본적으로 프로그램 삭제는 제어판에 등록된 "WindowsMangerProtect20.0.0.722" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 삭제할 필요할 필요가 있는 경우에는 다음과 같은 절차에 따라 제거하시기 바랍니다.

 

(a) Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 ProtectWindowsManager.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "WindowsMangerProtect"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\ProgramData\WindowsMangerProtect" 폴더를 찾아 삭제하시기 바랍니다.

 

"webssearches uninstall" 프로그램 정보

그 외에도 IePluginService, SupTab, WindowsMangerProtect 계열 광고 프로그램이 설치된 환경에서는 홈 페이지, 새 탭, 기본 검색 공급자를 "istart.webssearches.com" 웹 사이트로 연결시키는 webssearches 광고 프로그램이 설치될 수 있는 것으로 보입니다.

 

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\webssearches" 폴더에 프로그램을 설치하지만, 실행시에는 파일 기반으로 동작하지 않으며 설치시 등록한 레지스트리 및 웹 브라우저 바로가기 아이콘의 URL 값 수정을 통해 웹 사이트로 연결을 시도하는 것으로 보입니다.

 

그러므로 프로그램 삭제시에는 제어판에 등록된 "webssearches uninstall" 삭제 항목을 통해 제거를 한 후, Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저의 설정값을 추가적으로 직접 수정하여 "istart.webssearches.com" 웹 사이트로 연결되지 않도록 수정할 필요가 있습니다.

 

위와 같이 해외 광고 프로그램의 상당수는 세트 형태로 함께 설치되는 구조가 많으며, 제어판을 통한 프로그램 삭제 이후에도 사용하는 웹 브라우저의 설정값 및 확장 프로그램(플러그인)을 추가적으로 직접 삭제해야 하는 어려움이 예상되므로 설치되지 않도록 각별히 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..