본문 바로가기

벌새::PUP Info

검색 도우미 : Windows Baro Visit - bvmvbnmqmpi.exe (2014.11.5)

728x90
반응형

 

바탕 화면 또는 즐겨찾기 영역에 특정 인터넷 쇼핑몰 바로가기 아이콘을 생성하며 업데이트 창을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있는 국내에서 제작된 "Windows Baro Visit" 광고 프로그램의 변종이 수집되어 정보를 공개해 드립니다.

해당 프로그램은 변종에 따라 다양한 서비스 이름 및 서비스 파일을 생성할 수 있으므로 참고하시기 바랍니다.

 

"Windows Baro Visit" 변종 프로그램(bvmvbnmqmpi.exe) 정보

 

파일 경로

 C:\Program Files (x86)\Windows BaroVisit\barovisit.exe

MD5

 054587CC934ADBA4D1A2BD5520D5A01C

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

파일 설명

 barovisit.exe

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files (x86)\Windows BaroVisit\barovisits.exe

MD5

 D36538A5C5F0CE234822541F0740AB42

진단명

 Gen:Variant.Adware.Symmi.42600 (BitDefender)

파일 설명

 barovisits.exe

비고

 예약 작업(C:\Windows\Tasks\bvsvbnmqmpi.job) 등록 파일

 

파일 경로

 C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe

MD5

 B38621D9F3FD526BB0213D00F1B658C6

진단명

 Win32:Adware-BRI [Adw] (avast!)

파일 설명

 barovisitu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - BAROVISIT = "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run

비고

 시작 프로그램(BAROVISIT) 등록 파일, 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk) 등록 파일

 

파일 경로

 C:\Program Files (x86)\Windows BaroVisit\config_blogo.dll

MD5

 C9819F632F3F5ADB2EF518AF92DF257F

진단명

 PUP/Win32.SubShop (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

비고

 실행 모듈

 

파일 경로

 C:\Program Files (x86)\Windows BaroVisit\MWManagerM.dll

MD5

 9B5DAA687B7519C17D6CF822DD5DB5D4

진단명

 PUP/Win32.MWManager (AhnLab V3 365 Clinic)

디지털 서명

 The A MEDIA

비고

 실행 모듈

 

파일 경로

 C:\Windows\bvmvbnmqmpi.exe

MD5

 40D1FFA641DCCFC4C2F41BA964425CC3

진단명

 Gen:Variant.Zusy.103708 (BitDefender)

파일 설명

 bvmvbnmqmpi.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bvmvbnmqmpi

비고

 서비스(bvmvbnmqmpi) 등록 파일

 

"Windows Baro Visit" 광고 프로그램은 "C:\Program Files (x86)\Windows BaroVisit" 폴더와 Windows 폴더 내에 파일을 각각 생성하며, 다음과 같은 다양한 시작 위치에 파일을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

  • 서비스(bvmvbnmqmpi) : "C:\Windows\bvmvbnmqmpi.exe" /srv
  • 예약 작업(bvsvbnmqmpi.job) : "C:\Program Files (x86)\Windows BaroVisit\barovisits.exe" /sch
  • 시작 프로그램(BAROVISIT) : "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run
  • 시작 프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk) : "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /startup

특히 변종에 따라 특정 서버에서 다운로드된 서비스 등록 파일(barovisitm.zip → barovisitm.exe)은 Windows 폴더 내에 다양한 서비스 이름 및 파일명으로 설치가 이루어질 수 있습니다.

 

이를 통해 바탕 화면 또는 즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며 시스템 시작시 다양한 자동 실행값을 통해 최종 로딩된 "C:\Program Files (x86)\Windows BaroVisit\barovisit.exe" 파일을 메모리에 상주시킵니다.

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 추가적인 광고 모듈 로딩을 통해 웹 브라우저 상단에 광고바 생성, 인터넷 검색 및 웹 사이트 접속 과정에서 광고창 생성 등의 다양한 광고 동작을 통해 수익을 창출할 수 있습니다.

 

또한 특정 동작 시점에서는 추가적인 업데이트 창을 통해 유사한 기능을 가진 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

해당 프로그램은 기본적으로 제어판에 등록된 "Windows Baro Visit" 삭제 항목을 이용하여 삭제할 수 있지만, 수동으로 삭제가 필요한 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bvmvbnmqmpi"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어 변수는 서비스 등록 파일명에 종속합니다.)

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 barovisit.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files (x86)\Windows BaroVisit
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\barovisitu.lnk
  • C:\Windows\bvmvbnmqmpi.exe
  • C:\Windows\Tasks\bvsvbnmqmpi.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - "C:\Program Files (x86)\Windows BaroVisit\barovisitu.exe" /run

"Windows Baro Visit" 광고 프로그램은 가상 환경 및 분석 도구가 설치된 PC 환경에서는 설치가 이루어지지 않도록 제작되어 있으므로, 체크하는 프로그램을 사전에 설치하여 다양한 변종이 존재하는 광고 프로그램이 설치되지 않도록 사전에 예방할 수 있으므로 잘 활용하시기 바랍니다.

728x90
반응형