광고 프로그램 문제로 인하여 Runscanner 프로그램을 이용하여 문의가 들어오는 run 파일을 살펴보던 중 해외에서 제작된 광고 프로그램 세트가 지속적으로 발견되어 일부 정보를 공개해 드리도록 하겠습니다.
해당 해외 광고 프로그램은 최소 3~4종이 함께 설치가 이루어지는 경우가 많은 것으로 보이며, 다양한 변종에 따라 제어판에 등록되는 프로그램 이름이 다르거나 또는 제어판에 표시되지 않는 경우도 발견되고 있습니다.
■ IePluginService12.27.0.3326 변종 프로그램 정보
|
파일 경로 |
C:\ProgramData\IePluginServices\PluginService.exe |
|
MD5 |
5E0C29FCD859AB8D5B1C859F034D8F2F |
|
진단명 |
not-a-virus:AdWare.Win32.Agent.eqwa (Kaspersky) |
|
디지털 서명 |
Zhang Ling |
|
제품 이름 |
IePlugin control |
|
파일 설명 |
IePlugin Service |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IePluginServices |
|
비고 |
서비스(IePluginServices, 표시 이름 : IePlugin Service) 등록 파일, 메모리 상주 프로세스 |
유효하지 않는 "Zhang Ling" 디지털 서명이 포함된 IePluginService12.27.0.3326 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\IePluginServices" 폴더에 파일을 생성합니다.
"IePluginServices (표시 이름 : IePlugin Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\IePluginServices\PluginService.exe" 파일을 자동으로 실행하여 업데이트 체크 후 메모리에 상주하도록 구성되어 있습니다.
해외 정보를 참고해보면 IePluginService 계열 광고 프로그램이 설치된 환경에서는 웹 브라우저 이용시 광고 배너 생성 및 새 탭을 오픈하는 과정에서 자동으로 특정 웹 사이트로 연결이 이루어질 수 있는 것으로 보입니다.
또한 업데이트를 통한 변종에 따라서 프로그램 이름이 다양하게 등록될 수 있으며(※ 예시 : IePluginService12.27.0.3413 등), SupTab 광고 프로그램이 필수적으로 함께 설치되는 것으로 판단됩니다.
프로그램 삭제를 위해서는 제어판을 통해 삭제가 어려울 경우에는 다음과 같은 절차에 따라 수동으로 제거를 진행하시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 PluginService.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "IePluginServices"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(c) Internet Explorer 웹 브라우저 및 모든 프로그램을 종료한 상태를 "C:\ProgramData\IePluginServices" 폴더를 찾아 삭제하시기 바랍니다.
■ SupTab 프로그램 정보
|
파일 경로 |
C:\Program Files (x86)\SupTab\HpUI.exe |
|
MD5 |
112854FD524F472159E8F32548A7F62D |
|
진단명 |
ZhangLing.AA0 (AVG) |
|
디지털 서명 |
Zhang Ling |
|
파일 설명 |
HpUI.exe |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files (x86)\SupTab\Loader32.exe |
|
MD5 |
D46415CD75DDA09F0A17D2FDA2235CB0 |
|
진단명 |
ADW_BATPUS (Trend Micro) |
|
파일 설명 |
Loader32.exe |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files (x86)\SupTab\Loader64.exe |
|
MD5 |
09B9B6C0F8277A86CC8F4D66AEAAB762 |
|
진단명 |
Generic PUP.y (McAfee) |
|
파일 설명 |
Loader64.exe |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files (x86)\SupTab\WindowsSupportDll32.dll |
|
MD5 |
26CB4C81439D8297DF2EDCAF20A99905 |
|
진단명 |
Adware.SearchProtect.H (BitDefender) |
|
디지털 서명 |
Zhang Ling |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files (x86)\SupTab\WindowsSupportDll64.dll |
|
MD5 |
9487BC04EE849C3DAB9A2002D08A64F5 |
|
진단명 |
not-a-virus:AdWare.Win64.Agent.f (Kaspersky) |
|
디지털 서명 |
Zhang Ling |
|
비고 |
실행 모듈 |
유효하지 않는 "Zhang Ling" 디지털 서명이 포함된 SupTab 광고 프로그램은 "C:\Program Files (x86)\SupTab" 폴더에 파일을 생성합니다.
확인되지 않는 자동 실행 방식을 통해 HpUI.exe, Loader32.exe, Loader64.exe 프로세스를 메모리에 상주시키며, 사용자가 웹 브라우저를 사용하는 과정에서 WindowsSupportDll32.dll, WindowsSupportDll64.dll 광고 모듈을 추가 로딩하여 광고창 생성 등의 동작을 수행할 수 있는 것으로 추정됩니다.
기본적으로 프로그램 삭제를 위해서는 제어판에 등록된 "SupTab" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 제거를 진행하시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 HpUI.exe, Loader32.exe, Loader64.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\Program Files (x86)\SupTab" 폴더를 찾아 삭제하시기 바랍니다.
■ WindowsMangerProtect20.0.0.722 변종 프로그램 정보
|
파일 경로 |
C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe |
|
MD5 |
357A3A310BC75B9B57A7292847896015 |
|
진단명 |
Adware.Agent.ODR (BitDefender) |
|
제품 이름 |
WindowsProtectManger control |
|
파일 설명 |
WindowsProtectManger Service |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsMangerProtect |
|
비고 |
서비스(WindowsMangerProtect, 표시 이름 : WindowsProtectManger Service) 등록 파일, 메모리 상주 프로세스 |
WindowsMangerProtect20.0.0.722 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\WindowsMangerProtect" 폴더에 파일을 생성합니다.
"WindowsMangerProtect (표시 이름 : WindowsProtectManger Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
해당 프로그램은 기존에 유사한 기능을 제공하는 WPM17.8.0.3159, WPM20.0.0.502 등의 다양한 변종 프로그램이 존재하였던 것으로 보이며, 기본적으로 특정 제휴(광고) 프로그램에 대한 보호 기능이 포함되어 있을 것으로 추정됩니다.
기본적으로 프로그램 삭제는 제어판에 등록된 "WindowsMangerProtect20.0.0.722" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 삭제할 필요할 필요가 있는 경우에는 다음과 같은 절차에 따라 제거하시기 바랍니다.
(a) Windows 작업 관리자를 실행하여 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 ProtectWindowsManager.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "WindowsMangerProtect"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 "C:\ProgramData\WindowsMangerProtect" 폴더를 찾아 삭제하시기 바랍니다.
■ "webssearches uninstall" 프로그램 정보
그 외에도 IePluginService, SupTab, WindowsMangerProtect 계열 광고 프로그램이 설치된 환경에서는 홈 페이지, 새 탭, 기본 검색 공급자를 "istart.webssearches.com" 웹 사이트로 연결시키는 webssearches 광고 프로그램이 설치될 수 있는 것으로 보입니다.
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\webssearches" 폴더에 프로그램을 설치하지만, 실행시에는 파일 기반으로 동작하지 않으며 설치시 등록한 레지스트리 및 웹 브라우저 바로가기 아이콘의 URL 값 수정을 통해 웹 사이트로 연결을 시도하는 것으로 보입니다.
그러므로 프로그램 삭제시에는 제어판에 등록된 "webssearches uninstall" 삭제 항목을 통해 제거를 한 후, Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저의 설정값을 추가적으로 직접 수정하여 "istart.webssearches.com" 웹 사이트로 연결되지 않도록 수정할 필요가 있습니다.
위와 같이 해외 광고 프로그램의 상당수는 세트 형태로 함께 설치되는 구조가 많으며, 제어판을 통한 프로그램 삭제 이후에도 사용하는 웹 브라우저의 설정값 및 확장 프로그램(플러그인)을 추가적으로 직접 삭제해야 하는 어려움이 예상되므로 설치되지 않도록 각별히 주의하시기 바랍니다.