인터넷 검색시 광고창을 생성하며 사용자가 프로그램을 삭제한 이후에도 보안 솔루션처럼 위장한 광고 파일을 이용하여 지속적으로 수익을 창출할 수 있는 국내에서 제작된 "micro + micro 1.0.0.1" 광고 프로그램<SHA-1 : d1664dfb9d0e1ec7e97e5710b3134a9af0d6f590 - Kaspersky : not-a-virus:AdWare.Win32.Agent.gevy (VT : 19/54)>에 대해 살펴보도록 하겠습니다.

• Network Security 파일로 위장한 "softblow + softblow 1.0.0.1" 광고 프로그램 주의 (2014.6.16)

• MS 보안 프로그램처럼 위장한 "msssoft + msssoft 1.0.0.1" 광고 프로그램 주의 (2014.10.18)

해당 프로그램은 기존부터 보안 관련 프로그램처럼 위장하여 다양한 이름으로 지속적으로 발견되고 있으므로 참고하시기 바랍니다.

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\micro" 폴더와 Windows 폴더 내에 파일을 생성합니다.

1. micro 시작 프로그램 등록 정보

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - micro = "C:\Program Files\micro\microm.exe"

Windows 시작시 micro 시작 프로그램 등록값을 통해 "C:\Program Files\micro\microm.exe" 파일을 자동 실행하여 광고 기능을 수행하는 "C:\Program Files\micro\microd.exe" 파일을 로딩하여 메모리에 상주시킵니다.

이를 통해 microd.exe 파일은 특정 IP 서버에 배포 파일 코드, Mac Address, IP, 운영 제체 비트수, 해상도, Internet Explorer 웹 브라우저 버전 정보를 전송하여 실행 카운터(Counter)를 체크합니다.

이를 통해 Internet Explorer 웹 브라우저를 이용한 인터넷 검색 과정에서 광고창 생성을 통한 수익을 창출할 수 있습니다.

2. "micro service" 서비스 등록 정보

"micro service (표시 이름 : micro)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\micro\micros.exe" 파일을 자동 실행하도록 구성되어 있습니다.

실행된 서비스 파일(micros.exe)은 "HKEY_LOCAL_MACHINE\SOFTWARE\micro\SERVICE_FLAG" 레지스트리 값을 체크한 후 자동 종료 처리됩니다.

3. "Micro Security Service" 서비스 등록 정보

"Micro Security Service (표시 이름 : Micro Security)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\microsecurity.exe" 파일을 자동 실행하도록 구성되어 있습니다.

• h**p://211.***.115.**/app/bho/microengine.dll (SHA-1 : dc0bc643c6d9d833e9587999eaf5a44e3c6dcb77) - Avira : Adware/Agent.260248 (VT : 11/53)

실행된 서비스 파일(microsecurity.exe)은 브라우저 도우미 개체(BHO)로 등록된 "C:\Windows\microengine.dll" 파일을 체크하여 파일이 삭제 또는 구버전인 경우 특정 IP 서버로부터 파일을 다운로드하며 관련 레지스트리 값을 체크하여 재등록한 후 자동 종료 처리됩니다.

4. microengine 브라우저 도우미 개체(BHO) 등록 정보

이전에 배포하던 해당 광고 프로그램 시리즈에서는 브라우저 도우미 개체(BHO)를 사용자 동의없이 자동으로 등록하였지만, 이번 광고 프로그램에서는 레지스트리 조작 기능을 뺀 것으로 확인되고 있습니다.

사용자가 "micro + micro 1.0.0.1" 광고 프로그램이 설치된 이후 Internet Explorer 웹 브라우저 실행시 microengine 추가 기능을 사용하도록 설정한 경우 "C:\Windows\microengine.dll" 광고 모듈을 브라우저 도우미 개체(BHO)로 등록하여 함께 로딩되도록 구성되어 있습니다.

이를 통해 Internet Explorer 웹 브라우저 동작시 함께 로딩된 "C:\Windows\microengine.dll" 광고 모듈은 인터넷 검색을 통한 웹 브라우저 연결시 특정 IP 서버에 배포 파일 코드, Mac Address, 운영 체제 비트수, Internet Explorer 웹 브라우저 버전 정보를 전송하여 광고 구성값 정보를 체크할 수 있습니다.

만약 유효한 조건에 만족시킬 경우 웹 사이트 접속 과정에서 제휴 코드 삽입 또는 광고창 생성 등의 수익 활동을 전개할 수 있습니다.

■ "micro + micro 1.0.0.1" 프로그램 삭제 방법

해당 프로그램이 설치된 경우 제어판에 "micro"와 "micro 1.0.0.1" 2개의 프로그램으로 등록하여 사용자에게 혼동을 유발하고 있습니다.

• micro → C:\Program Files\micro\microu.exe
• micro 1.0.0.1 → C:\Program Files\micro\Uninstall.exe

하지만 제어판에 등록된 "micro 1.0.0.1" 프로그램의 삭제 파일은 실제로는 존재하지 않은 "C:\Program Files\micro\Uninstall.exe" 파일로 연결되어 있는 가짜 삭제 목록임을 알 수 있습니다.

그러므로 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 microd.exe 프로세스를 종료한 후 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 다음과 같이 삭제를 진행하시기 바랍니다.

• 제어판에서 "micro" 삭제 항목 실행시 : "C:\Program Files\micro" 폴더 내에 존재하는 파일을 삭제하며, 시스템에 따라서는 프로그램 삭제 이후에도 "micro" 삭제 항목이 제거되지 않습니다.
• 제어판에서 "micro 1.0.0.1" 삭제 항목 실행시 : 오류창 생성 → "예(Y)" 버튼을 클릭하여 삭제 항목을 삭제하시기 바랍니다.

제어판에 등록된 "micro" 삭제 항목을 이용하여 프로그램 삭제 후에도 해당 삭제 항목이 제거되지 않는 것으로 보이므로 다시 한 번 "micro" 삭제 항목을 클릭하여 오류창이 생성되면 "예(Y)" 버튼을 클릭하여 제거하시기 바랍니다.

하지만 제어판을 통해 프로그램을 삭제한 이후에도 "Micro Security Service (표시 이름 : Micro Security)" 서비스와 "C:\Windows\microengine.dll" 브라우저 도우미 개체(BHO) 파일을 삭제하지 않고 지속적으로 동작하도록 제작되어 있으므로 다음과 같은 절차에 따라 반드시 추가 삭제를 진행하시기 바랍니다.

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "Micro Security Service"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

(b) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 파일을 찾아 직접 삭제하시기 바랍니다.

• C:\Windows\microengine.dll
• C:\Windows\microsecurity.exe

(c) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Browser Helper Objects\{358D8A21-5EFC-46CB-AAA6-B1552639222D}" 레지스트리 값을 찾아 삭제하시기 바랍니다.

"micro + micro 1.0.0.1" 광고 프로그램은 제어판을 통해 정상적으로 삭제를 지원하는 것처럼 보이지만, 프로그램 삭제 이후에도 일부 광고 기능을 여전히 유지하여 시스템 시작시마다 업데이트 수행 및 인터넷을 이용하는 과정에서 지속적으로 타인의 돈벌이 수단으로 이용되므로 설치되지 않도록 주의하시기 바랍니다.