바로가기 아이콘 생성 프로그램 : SyncWebs for Win32 - swstontopom.exe (2015.1.30)

◇ 광고 프로그램 삭제 관련 문의 방법

 

바탕 화면 또는 즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 인터넷 검색 및 웹 사이트 접속시 광고창 생성 동작을 수행할 수 있는 국내에서 제작된 "SyncWebs for Win32" 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.

 

파일 경로	C:\Program Files (x86)\SyncWebs\syncwebs.exe
MD5	0D6842664916C1E66A1E8716D57D0DD8
진단명	Adware.Kraddare.295936 (ALYac)
파일 설명	syncwebs.exe
레지스트리 등록값	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  - SYNCW = "C:\Program Files (x86)\SyncWebs\syncwebs.exe" /run
비고	시작 프로그램(SYNCW) 등록 파일, 메모리 상주 프로세스

 

파일 경로	C:\Program Files (x86)\SyncWebs\syncwebss.exe
MD5	F6D0C46B7D92FE83F50F7572F23C9A0F
진단명	PUP/Win32.IntClient (AhnLab V3 365 Clinic)
디지털 서명	Donkey CORP.
파일 설명	syncwebss.exe
비고	예약 작업(C:\Windows\Tasks\swstontopos.job) 등록 파일

 

파일 경로	C:\Windows\swstontopom.exe
MD5	A619FC45DB9398A512495554A18D2A2C
진단명	Win32:Adware-BRI [Adw] (avast!)
디지털 서명	Donkey CORP.
파일 설명	swstontopom.exe
레지스트리 등록값	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\swstontopom
비고	서비스(swstontopom) 등록 파일

 

"Donkey CORP." 디지털 서명이 포함된 "SyncWebs for Win32" 광고 프로그램은 "C:\Program Files (x86)\SyncWebs" 폴더와 Windows 폴더에 swstontopom.exe 서비스 파일로 구성되어 있습니다.(※ 서비스 파일(swstontopom.exe)은 변종에 따라 다양한 파일명으로 생성될 수 있습니다.)

• 서비스(swstontopom) : "C:\Windows\swstontopom.exe" /srv
• 시작 프로그램(SYNCW) : "C:\Program Files (x86)\SyncWebs\syncwebs.exe" /run
• 예약 작업(swstontopos) : C:\Program Files (x86)\SyncWebs\syncwebss.exe /sch

시스템 시작시 서비스, 시작 프로그램, 예약 작업에 등록된 다양한 자동 실행값을 통해 프로그램 업데이트 및 광고 구성값 정보를 체크하며, 이 과정에서 가상 환경 및 특정 분석 도구를 체크하여 존재시 프로그램 기능이 중지되도록 제작되어 있습니다.

• 국내 광고 프로그램 설치 및 동작 방해하는 방법 (2014.7.13)

그러므로 "SyncWebs for Win32" 광고 프로그램의 설치 및 광고 동작을 방해하기 위한 방법을 참고하여 제시된 소프트웨어를 추가적으로 설치하시길 권장합니다.

 

정상적으로 실행된 "SyncWebs for Win32" 광고 프로그램은 사용자가 Internet Explorer 웹 브라우저 실행시 다양한 광고 모듈(340.dll, 341.dll, jjanggame.dll, MWManagerM.dll, rclick.dll, utilfolder.dll 등) 로딩을 통한 광고창 및 바로가기 아이콘을 생성할 수 있습니다.

 

■ "SyncWebs for Win32" 광고 프로그램 삭제 방법

기본적으로 해당 광고 프로그램은 제어판에 등록된 "SyncWebs for Win32" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자가 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "swstontopom"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

 

(b) Windows 작업 관리자를 실행하여 syncwebs.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

• C:\Program Files (x86)\SyncWebs
• C:\Windows\swstontopom.exe
• C:\Windows\System32\Tasks\swstontopos
• C:\Windows\Tasks\swstontopos.job

참고로 "SyncWebs for Win32" 광고 프로그램이 즐겨찾기 또는 바탕 화면에 생성한 인터넷 쇼핑몰 바로가기 아이콘이 존재할 경우 직접 삭제하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - SYNCW = "C:\Program Files (x86)\SyncWebs\syncwebs.exe" /run

"SyncWebs for Win32" 광고 프로그램 이름으로는 사용자가 광고 프로그램으로 판단하기 매우 어려우며, 지속적으로 사용자가 추가하지 않은 바로가기 아이콘 또는 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.