본문 바로가기

벌새::Security

"Win-PUP/MicroLab" 진단을 통한 치료 불가 이슈 해결 방법 (2015.6.9)

AhnLab V3 보안 제품(유료/무료) 사용자 중에서 국내에서 제작된 "외국어 자동 번역 검색 수익 분배 시스템(Internet Explorer Distribution Of Earnings 또는 Micronames Multi Language Convert Service)" 광고 프로그램 설치 파일을 Win-PUP/MicroLab 진단명으로 진단하지만 치료가 이루어지지 않는 문제에 대해 살펴보도록 하겠습니다.

 

특히 해당 광고 프로그램은 설치가 이루어진 경우 사용자의 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 등록하지 않는 수법으로 사용자의 눈을 속이고 있기에 주의해야 합니다.

  • h**p://www.mi***names.co.kr/download/App/3220/Translation.exe (SHA-1 : 141179300cb50ca5c2f1fe3692a7e89efd81b296) - AhnLab V3 : Win-PUP/MicroLab (VT : 22/57)

블로그 첨부 파일 또는 파일 자료실에서 다운로드한 신뢰할 수 없는 파일을 사용자가 부주의하게 실행할 경우 특정 서버로부터 "MicroNames Ltd." 디지털 서명이 포함된 광고 설치 파일을 다운로드하여 "C:\Windows\System32\Translation.exe" 위치에 생성 및 실행을 통해 광고 프로그램이 설치되는 것으로 추정됩니다.(※ AhnLab V3 365 Clinic 제품에서는 실시간 검사를 통해 파일 다운로드시 차단이 이루어집니다.)

 

문제는 AhnLab V3 Lite 무료 백신 경우에는 파일 다운로드시 실시간 검사를 통한 차단이 이루어지지 않으며, 다운로드를 통해 생성된 Translation.exe 파일이 광고 프로그램 설치 과정에서도 Win-PUP/MicroLab 진단이 동작하지 않습니다.

 

단지 정밀 검사를 통해 "C:\Windows\System32\Translation.exe" 파일을 Win-PUP/MicroLab 진단명으로 진단하지만 "치료 불가(프로그램 제작사에서 제공하는 삭제 프로그램으로 해당 프로그램을 제거하십시오.(코드: 27))" 메시지를 통해 치료를 제공하지 않고 있습니다.

 

이로 인하여 다수의 AhnLab V3 Lite 무료 백신 사용자 중에서 해당 진단 문제를 해결하지 못하고 어려움을 겪을 수 있으며, 그런 이유는 메시지에서 안내하는 프로그램 삭제 프로그램으로는 "C:\Windows\System32\Translation.exe" 파일이 삭제되지 않는다는 점입니다.

 

그러므로 해당 진단 이슈가 발생하는 사용자는 "C:\Windows\System32\Translation.exe" 파일을 찾아 직접 삭제하는 방식으로 문제를 해결하시기 바랍니다.

 

또한 해당 광고 프로그램 설치 파일로 인해 다음과 같은 광고 프로그램이 설치되었을 가능성이 매우 높으므로 추가적인 점검을 통해 설치되어 있는 경우에는 다음의 내용을 참고하여 광고 프로그램 삭제를 진행하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe

해당 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더에 파일을 생성하여 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성할 수 있습니다.

그러므로 광고 프로그램 삭제를 위해서는 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe" 파일을 찾아서 직접 실행하여 프로그램 삭제를 진행한 후 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더를 직접 삭제하시면 됩니다.

 

■ 광고 프로그램<불필요한 프로그램(PUP)>에 대한 AhnLab V3 보안 제품의 치료 불가 진단 정책 비판

 

현재 AhnLab V3 Lite 무료 백신은 기본적으로 대다수의 불필요한 프로그램(PUP)에 대한 진단 및 치료를 제공하지 않는 것으로 알고 있으며, AhnLab V3 365 Clinic 유료 제품에서는 실시간 검사를 통한 차단 및 치료를 제공하고 있습니다.

 

그런데 간혹 유료 제품에서도 Win-PUP/MicroLab 진단명과 같이 진단된 파일에 대해 "치료 불가" 정책으로 표시되는 경우가 있으며, 해외 보안 제품에서 위와 같은 정책을 가진 제품은 없으리라 생각됩니다.

 

특히 안내 메시지처럼 프로그램에서 제공하는 삭제 기능을 통해 제거가 된다면 다행이지만, "C:\Windows\System32\Translation.exe" 파일이 무슨 파일인지 알 수도 없을 뿐더라 제어판을 통한 프로그램 삭제가 불가능한 경우인데도 이런 치료 정책을 고수한다는 것은 무책임한 행위라고 볼 수 있습니다.

  • 철이 2015.06.11 11:06 댓글주소 수정/삭제 댓글쓰기

    동감입니다.
    제작사에서 뭘 제공하길래 알아서 하라는건지.. 저럴꺼면 왜 진단하는 것처럼 보여주는지가 의문입니다.

    • 안내를 하려면 제대로 해야죠. 이게 무료 버전에서만 그런게 아니라 유료 버전에서도 그렇습니다.

      더 웃긴건 유료 버전은 실시간 검사에서 해당 파일 다운로드시에 차단(삭제)를 하면서 저러니...

  • 엠폴 2015.07.25 04:25 댓글주소 수정/삭제 댓글쓰기

    안랩은 PUP 프로그램을 치료 및 삭제를 하지 않는 다면 그 프로그램들을 삭제하는 무료백신이 있나요???

    • AhnLab 제품이 PUP 진단을 하는 것은 대부분 삭제하는데 일부 위와 같은 경우 이유는 알 수 없지만 삭제를 지원하지 않습니다.

      이런 경우에는 진단된 파일 경로를 확인하여 직접 삭제하시는 것이 가장 빠릅니다.

  • 엠폴 2015.07.26 10:21 댓글주소 수정/삭제 댓글쓰기

    일부 PUP 프로그램들은 제어판에서 (REMOVE ONLY)라고 떡하니 있어서 아주 열받게 만들더군요;;
    에휴 그레서 파일 경로를 따라서 삭제도 하긴 하지만 따로 IOBIT uninstaller 프로그램도 써서 관련 레지스트리까지 싹 없에고는 있지만요ㅠㅠ
    (대신 소중한 시간낭비 OTL)