인터넷 검색 및 웹 사이트 접속시 광고창을 생성할 수 있는 국내에서 제작된 "GearExtention for Windows (x86,x64)" 광고 프로그램의 변종 정보가 수집되어 공개해 드리겠습니다.
해당 프로그램은 변종에 따라 서비스 이름 및 등록 파일이 다양하게 생성될 수 있으며, "Windows GearExtion" 광고 프로그램과 생성 폴더명이 동일한 변종 프로그램이므로 참고하시기 바랍니다.
파일 경로 |
C:\Program Files (x86)\Windows GearExt\gearext.exe |
MD5 |
7124443FEA02EBB33DB8927C8E2638BD |
진단명 |
Gen:Variant.Adware.Symmi.43556 (ALYac) |
디지털 서명 |
INSAFE |
제품 이름 |
GearExtention |
파일 설명 |
GearExtention |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\Windows GearExt\gearexts.exe |
MD5 |
D7EF29335F44720D89E27E29DA67C8B3 |
진단명 |
PUP/Win32.GearExt (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
파일 설명 |
gearexts.exe |
비고 |
예약 작업(C:\Windows\Tasks\gesegnmsnon.job) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\Windows GearExt\gearextu.exe |
MD5 |
688D1F7598C2281EB7CA4D9E3ED3CC81 |
디지털 서명 |
INSAFE |
파일 설명 |
gearextu.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - EXTGEAR = "C:\Program Files (x86)\Windows GearExt\gearextu.exe" /run |
비고 |
시작 프로그램(EXTGEAR) 등록 파일 |
파일 경로 |
C:\Program Files (x86)\Windows GearExt\gext_bangabmoa.dll |
MD5 |
522A6F7ECDB0787B22289BED167FA26A |
진단명 |
Adware/W32.Agent.683200 (nProtect) |
디지털 서명 |
INSAFE |
비고 |
실행 모듈 |
파일 경로 |
C:\Windows\gemegnmsnon.exe |
MD5 |
D3C36037CB33D1018D61A2D60DC8209B |
진단명 |
Gen:Variant.Adware.Graftor.140283 (ALYac) |
디지털 서명 |
INSAFE |
파일 설명 |
gemegnmsnon.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gemegnmsnon |
비고 |
서비스(gemegnmsnon) 등록 파일 |
INSAFE 디지털 서명이 포함된 "GearExtention for Windows (x86,x64)" 광고 프로그램은 "C:\Program Files (x86)\Windows GearExt" 폴더와 gemeg******.exe 파일 패턴으로 생성되는 서비스 파일을 Windows 폴더에 생성하여 다음과 같은 다양한 자동 실행값을 통해 시스템 시작시 자동 실행됩니다.
- 서비스(gemegnmsnon) : "C:\Windows\gemegnmsnon.exe" /srv
- 시작 프로그램(EXTGEAR) : "C:\Program Files (x86)\Windows GearExt\gearextu.exe" /run
- 예약 작업(gesegnmsnon) : C:\Program Files (x86)\Windows GearExt\gearexts.exe /sch
자동 실행된 값은 광고 기능을 수행하는 "C:\Program Files (x86)\Windows GearExt\gearext.exe" 파일을 메모리에 상주시키며, 이 과정에서 가상 환경 및 특정 분석 도구가 설치된 환경에서는 동작하지 않도록 제작되어 있습니다.
"GearExtention for Windows (x86,x64)" 광고 프로그램이 설치된 환경에서 인터넷 검색 및 웹 사이트 접속시 "C:\Program Files (x86)\Windows GearExt\gext_bangabmoa.dll" 광고 모듈을 참조하여 다양한 광고창을 생성할 수 있습니다.
■ "GearExtention for Windows (x86,x64)" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램의 삭제는 제어판에서 "GearExtention for Windows (x86,x64)" 삭제 항목을 이용하여 삭제할 수 있으며, 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gemegnmsnon"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 gearext.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\Windows GearExt
- C:\Windows\gemegnmsnon.exe
- C:\Windows\System32\Tasks\gesegnmsnon
- C:\Windows\Tasks\gesegnmsnon.job
(d) 레지스트리 편집기(regedit)를 실행하여 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
EXTGEAR" 레지스트리 값을 찾아 삭제하시기 바랍니다.
"GearExtention for Windows (x86,x64)" 또는 "Windows GearExtion" 광고 프로그램과 같이 특정 PC 환경을 체크하는 경우에는 "국내 광고 프로그램 설치 및 동작 방해하는 방법" 게시글을 참고하여 관련 프로그램을 사전에 설치해 둘 경우 PC에 광고 프로그램이 설치 단계에서 성공하지 못할 수 있으므로 활용하시기 바랍니다.