인터넷 검색시 광고창을 생성하며 사용자가 프로그램을 삭제한 이후에도 보안 솔루션처럼 위장한 광고 파일을 이용하여 지속적으로 수익을 창출할 수 있는 국내에서 제작된 "micro + micro 1.0.0.1" 광고 프로그램<SHA-1 : d1664dfb9d0e1ec7e97e5710b3134a9af0d6f590 - Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 19/54)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존부터 보안 관련 프로그램처럼 위장하여 다양한 이름으로 지속적으로 발견되고 있으므로 참고하시기 바랍니다.
C:\Program Files\micro
C:\Program Files\micro\microd.exe :: 메모리 상주 프로세스
C:\Program Files\micro\microi.exe
C:\Program Files\micro\microm.exe :: 시작 프로그램(micro) 등록 파일
C:\Program Files\micro\micros.exe :: 서비스(micro service) 등록 파일
C:\Program Files\micro\microu.exe :: micro 프로그램 삭제 등록 파일
C:\Windows\microengine.dll :: BHO 등록 파일
C:\Windows\microsecurity.exe :: 서비스(Micro Security Service) 등록 파일
C:\Windows\System32\msvcr110.dll
C:\Program Files\micro\microd.exe
- SHA-1 : c8b18294d2417f8d0b7a464abc842e2ec57a078a
- Avira : Adware/Searchclick.3657872 (VT : 8/53)
C:\Program Files\micro\microi.exe
- SHA-1 : f467ede2bc947eedc20792623c7d9aeecf36a402
- AVG : Generic.B9B (VT : 1/53)
C:\Program Files\micro\microm.exe
- SHA-1 : f8c03314f593ca12222f07dc486dfbc3da3a6a70
- AVG : Generic.B9B (VT : 1/52)
C:\Program Files\micro\micros.exe
- SHA-1 : 2b6e65ff9f1ca14efaf0b1be48f5a927abc28e28
- AVG : Generic.B9B (VT : 1/53)
C:\Program Files\micro\microu.exe
- SHA-1 : d220ac20a6a35008ccfef57e1990a2f22258f8d9
- AVG : Generic.B9B (VT : 1/54)
C:\Windows\microengine.dll
- SHA-1 : dc0bc643c6d9d833e9587999eaf5a44e3c6dcb77
- Avira : Adware/Agent.260248 (VT : 11/53)
C:\Windows\microsecurity.exe
- SHA-1 : 1f44e68e79d0c8462f5a90be101ac4734200a485
- Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 2/54)
"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\micro" 폴더와 Windows 폴더 내에 파일을 생성합니다.
1. micro 시작 프로그램 등록 정보
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- micro = "C:\Program Files\micro\microm.exe"
Windows 시작시 micro 시작 프로그램 등록값을 통해 "C:\Program Files\micro\microm.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\micro\microd.exe" 파일을 로딩하여 메모리에 상주시킵니다.
이를 통해 microd.exe 파일은 특정 IP 서버에 배포 파일 코드, Mac Address, IP, 운영 제체 비트수, 해상도, Internet Explorer 웹 브라우저 버전 정보를 전송하여 실행 카운터(Counter)를 체크합니다.
이를 통해 Internet Explorer 웹 브라우저를 이용한 인터넷 검색 과정에서 광고창 생성을 통한 수익을 창출할 수 있습니다.
2. "micro service" 서비스 등록 정보
"micro service (표시 이름 : micro)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\micro\micros.exe" 파일을 자동 실행하도록 구성되어 있습니다.
실행된 서비스 파일(micros.exe)은 "HKEY_LOCAL_MACHINE\SOFTWARE\micro\SERVICE_FLAG" 레지스트리 값을 체크한 후 자동 종료 처리됩니다.
3. "Micro Security Service" 서비스 등록 정보
"Micro Security Service (표시 이름 : Micro Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\microsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.
- h**p://211.***.115.**/app/bho/microengine.dll (SHA-1 : dc0bc643c6d9d833e9587999eaf5a44e3c6dcb77) - Avira : Adware/Agent.260248 (VT : 11/53)
실행된 서비스 파일(microsecurity.exe)은 브라우저 도우미 개체(BHO)로 등록된 "C:\Windows\microengine.dll" 파일을 체크하여 파일이 삭제 또는 구버전인 경우 특정 IP 서버로부터 파일을 다운로드하며 관련 레지스트리 값을 체크하여 재등록한 후 자동 종료 처리됩니다.
4. microengine 브라우저 도우미 개체(BHO) 등록 정보
이전에 배포하던 해당 광고 프로그램 시리즈에서는 브라우저 도우미 개체(BHO)를 사용자 동의없이 자동으로 등록하였지만, 이번 광고 프로그램에서는 레지스트리 조작 기능을 뺀 것으로 확인되고 있습니다.
이름 |
microengine |
게시자 |
FAMOUS SOLUTION Co.LTD,,, |
유형 |
브라우저 도우미 개체 |
CLSID |
{358D8A21-5EFC-46CB-AAA6-B1552639222D} |
파일 |
C:\Windows\microengine.dll |
사용자가 "micro + micro 1.0.0.1" 광고 프로그램이 설치된 이후 Internet Explorer 웹 브라우저 실행시 microengine 추가 기능을 사용하도록 설정한 경우 "C:\Windows\microengine.dll" 광고 모듈을 브라우저 도우미 개체(BHO)로 등록하여 함께 로딩되도록 구성되어 있습니다.
이를 통해 Internet Explorer 웹 브라우저 동작시 함께 로딩된 "C:\Windows\microengine.dll" 광고 모듈은 인터넷 검색을 통한 웹 브라우저 연결시 특정 IP 서버에 배포 파일 코드, Mac Address, 운영 체제 비트수, Internet Explorer 웹 브라우저 버전 정보를 전송하여 광고 구성값 정보를 체크할 수 있습니다.
만약 유효한 조건에 만족시킬 경우 웹 사이트 접속 과정에서 제휴 코드 삽입 또는 광고창 생성 등의 수익 활동을 전개할 수 있습니다.
■ "micro + micro 1.0.0.1" 프로그램 삭제 방법
해당 프로그램이 설치된 경우 제어판에 "micro"와 "micro 1.0.0.1" 2개의 프로그램으로 등록하여 사용자에게 혼동을 유발하고 있습니다.
- micro → C:\Program Files\micro\microu.exe
- micro 1.0.0.1 → C:\Program Files\micro\Uninstall.exe
하지만 제어판에 등록된 "micro 1.0.0.1" 프로그램의 삭제 파일은 실제로는 존재하지 않은 "C:\Program Files\micro\Uninstall.exe" 파일로 연결되어 있는 가짜 삭제 목록임을 알 수 있습니다.
그러므로 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 microd.exe 프로세스를 종료한 후 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음과 같이 삭제를 진행하시기 바랍니다.
- 제어판에서 "micro" 삭제 항목 실행시 : "C:\Program Files\micro" 폴더 내에 존재하는 파일을 삭제하며, 시스템에 따라서는 프로그램 삭제 이후에도 "micro" 삭제 항목이 제거되지 않습니다.
- 제어판에서 "micro 1.0.0.1" 삭제 항목 실행시 : 오류창 생성 → "예(Y)" 버튼을 클릭하여 삭제 항목을 삭제하시기 바랍니다.
제어판에 등록된 "micro" 삭제 항목을 이용하여 프로그램 삭제 후에도 해당 삭제 항목이 제거되지 않는 것으로 보이므로 다시 한 번 "micro" 삭제 항목을 클릭하여 오류창이 생성되면 "예(Y)" 버튼을 클릭하여 제거하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{625C75AF-1128-47A1-B68A-B135108E6118}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\microengine.Helper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8ED0B5EA-5202-4B20-9DE6-8B1B14738D35}
HKEY_LOCAL_MACHINE\SOFTWARE\micro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- micro = "C:\Program Files\micro\microm.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\micro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\micro 1.0.0.1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Micro Security Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\micro service
하지만 제어판을 통해 프로그램을 삭제한 이후에도 "Micro Security Service (표시 이름 : Micro Security)" 서비스와 "C:\Windows\microengine.dll" 브라우저 도우미 개체(BHO) 파일을 삭제하지 않고 지속적으로 동작하도록 제작되어 있으므로 다음과 같은 절차에 따라 반드시 추가 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Micro Security Service"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 파일을 찾아 직접 삭제하시기 바랍니다.
- C:\Windows\microengine.dll
- C:\Windows\microsecurity.exe
(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}" 레지스트리 값을 찾아 삭제하시기 바랍니다.
"micro + micro 1.0.0.1" 광고 프로그램은 제어판을 통해 정상적으로 삭제를 지원하는 것처럼 보이지만, 프로그램 삭제 이후에도 일부 광고 기능을 여전히 유지하여 시스템 시작시마다 업데이트 수행 및 인터넷을 이용하는 과정에서 지속적으로 타인의 돈벌이 수단으로 이용되므로 설치되지 않도록 주의하시기 바랍니다.
제가 어쩌다가 저런거 걸려서 삭제하는 방법 다해봣는데 한동안 안뜨다가 또뜨네요 그리고 프롬프트로 몇번이고하는데 실패5: 액세스가 거부되었습니다.라고 뜨네요
http://hummingbird.tistory.com/notice/4859
게시글을 참고하여 run 파일을 제작하여 메일로 보내주시면 살펴보도록 하겠습니다.
저기 알려주신 방법대로 모두 따라했으나 재부팅시에 다시 광고창이뜹니다.. 그리고 다시 삭제하려고하면 이미 삭제됬다네요.. 어떻하죠
아마 다른 광고 프로그램이 숨어있을 수도 있습니다.
http://hummingbird.tistory.com/notice/4859
링크를 참고하여 문의해 주시기 바랍니다.
그냥 프로세스 초기화 하니까 더이상 안뜨네요 ㅋㅋ 감사합니다
프로세스 초기화는 파일을 제거하지 않고 안고가는 방식입니다.
그러므로 파일을 찾아서 제거하는 올바른 습관을 가지시기 바랍니다.