바탕 화면 또는 즐겨찾기 영역에 특정 인터넷 쇼핑몰 바로가기 아이콘을 생성하며 업데이트 창을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있는 국내에서 제작된 "Windows Baro Visit" 광고 프로그램의 변종이 수집되어 정보를 공개해 드립니다.
해당 프로그램은 변종에 따라 다양한 서비스 이름 및 서비스 파일을 생성할 수 있으므로 참고하시기 바랍니다.
■ "Windows Baro Visit" 변종 프로그램(bvmvbnmqmpi.exe) 정보
파일 경로 |
C:\Program Files (x86)\Windows BaroVisit\barovisit.exe |
MD5 |
054587CC934ADBA4D1A2BD5520D5A01C |
진단명 |
PUP/Win32.IntClient (AhnLab V3 365 Clinic) |
파일 설명 |
barovisit.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\Windows BaroVisit\barovisits.exe |
MD5 |
D36538A5C5F0CE234822541F0740AB42 |
진단명 |
Gen:Variant.Adware.Symmi.42600 (BitDefender) |
파일 설명 |
barovisits.exe |
비고 |
예약 작업(C:\Windows\Tasks\bvsvbnmqmpi.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe |
MD5 |
B38621D9F3FD526BB0213D00F1B658C6 |
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
파일 설명 |
barovisitu.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - BAROVISIT = "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run |
비고 |
시작 프로그램(BAROVISIT) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\Windows BaroVisit\config_blogo.dll |
MD5 |
C9819F632F3F5ADB2EF518AF92DF257F |
진단명 |
PUP/Win32.SubShop (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\Windows BaroVisit\MWManagerM.dll |
MD5 |
9B5DAA687B7519C17D6CF822DD5DB5D4 |
진단명 |
PUP/Win32.MWManager (AhnLab V3 365 Clinic) |
디지털 서명 |
The A MEDIA |
비고 |
실행 모듈 |
파일 경로 |
C:\Windows\bvmvbnmqmpi.exe |
MD5 |
40D1FFA641DCCFC4C2F41BA964425CC3 |
진단명 |
Gen:Variant.Zusy.103708 (BitDefender) |
파일 설명 |
bvmvbnmqmpi.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bvmvbnmqmpi |
비고 |
서비스(bvmvbnmqmpi) 등록 파일 |
"Windows Baro Visit" 광고 프로그램은 "C:\Program Files (x86)\Windows BaroVisit" 폴더와 Windows 폴더 내에 파일을 각각 생성하며, 다음과 같은 다양한 시작 위치에 파일을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
- 서비스(bvmvbnmqmpi) : "C:\Windows\bvmvbnmqmpi.exe" /srv
- 예약 작업(bvsvbnmqmpi.job) : "C:\Program Files (x86)\Windows BaroVisit\barovisits.exe" /sch
- 시작 프로그램(BAROVISIT) : "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run
- 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk) : "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /startup
특히 변종에 따라 특정 서버에서 다운로드된 서비스 등록 파일(barovisitm.zip → barovisitm.exe)은 Windows 폴더 내에 다양한 서비스 이름 및 파일명으로 설치가 이루어질 수 있습니다.
이를 통해 바탕 화면 또는 즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며 시스템 시작시 다양한 자동 실행값을 통해 최종 로딩된 "C:\Program Files (x86)\Windows BaroVisit\barovisit.exe" 파일을 메모리에 상주시킵니다.
프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 추가적인 광고 모듈 로딩을 통해 웹 브라우저 상단에 광고바 생성, 인터넷 검색 및 웹 사이트 접속 과정에서 광고창 생성 등의 다양한 광고 동작을 통해 수익을 창출할 수 있습니다.
또한 특정 동작 시점에서는 추가적인 업데이트 창을 통해 유사한 기능을 가진 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
해당 프로그램은 기본적으로 제어판에 등록된 "Windows Baro Visit" 삭제 항목을 이용하여 삭제할 수 있지만, 수동으로 삭제가 필요한 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bvmvbnmqmpi"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어 변수는 서비스 등록 파일명에 종속합니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 barovisit.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\Windows BaroVisit
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk
- C:\Windows\bvmvbnmqmpi.exe
- C:\Windows\Tasks\bvsvbnmqmpi.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run
"Windows Baro Visit" 광고 프로그램은 가상 환경 및 분석 도구가 설치된 PC 환경에서는 설치가 이루어지지 않도록 제작되어 있으므로, 체크하는 프로그램을 사전에 설치하여 다양한 변종이 존재하는 광고 프로그램이 설치되지 않도록 사전에 예방할 수 있으므로 잘 활용하시기 바랍니다.