울지않는벌새 : Security, Movie & Society

"Win-PUP/MicroLab" 진단을 통한 치료 불가 이슈 해결 방법 (2015.6.9)

벌새::Security

AhnLab V3 보안 제품(유료/무료) 사용자 중에서 국내에서 제작된 "외국어 자동 번역 검색 수익 분배 시스템(Internet Explorer Distribution Of Earnings 또는 Micronames Multi Language Convert Service)" 광고 프로그램 설치 파일을 Win-PUP/MicroLab 진단명으로 진단하지만 치료가 이루어지지 않는 문제에 대해 살펴보도록 하겠습니다.

특히 해당 광고 프로그램은 설치가 이루어진 경우 사용자의 삭제를 방해할 목적으로 제어판의 설치 프로그램 목록에 등록하지 않는 수법으로 사용자의 눈을 속이고 있기에 주의해야 합니다.

  • h**p://www.mi***names.co.kr/download/App/3220/Translation.exe (SHA-1 : 141179300cb50ca5c2f1fe3692a7e89efd81b296) - AhnLab V3 : Win-PUP/MicroLab (VT : 22/57)

블로그 첨부 파일 또는 파일 자료실에서 다운로드한 신뢰할 수 없는 파일을 사용자가 부주의하게 실행할 경우 특정 서버로부터 "MicroNames Ltd." 디지털 서명이 포함된 광고 설치 파일을 다운로드하여 "C:\Windows\System32\Translation.exe" 위치에 생성 및 실행을 통해 광고 프로그램이 설치되는 것으로 추정됩니다.(※ AhnLab V3 365 Clinic 제품에서는 실시간 검사를 통해 파일 다운로드시 차단이 이루어집니다.)

 

문제는 AhnLab V3 Lite 무료 백신 경우에는 파일 다운로드시 실시간 검사를 통한 차단이 이루어지지 않으며, 다운로드를 통해 생성된 Translation.exe 파일이 광고 프로그램 설치 과정에서도 Win-PUP/MicroLab 진단이 동작하지 않습니다.

 

단지 정밀 검사를 통해 "C:\Windows\System32\Translation.exe" 파일을 Win-PUP/MicroLab 진단명으로 진단하지만 "치료 불가(프로그램 제작사에서 제공하는 삭제 프로그램으로 해당 프로그램을 제거하십시오.(코드: 27))" 메시지를 통해 치료를 제공하지 않고 있습니다.

 

이로 인하여 다수의 AhnLab V3 Lite 무료 백신 사용자 중에서 해당 진단 문제를 해결하지 못하고 어려움을 겪을 수 있으며, 그런 이유는 메시지에서 안내하는 프로그램 삭제 프로그램으로는 "C:\Windows\System32\Translation.exe" 파일이 삭제되지 않는다는 점입니다.

 

그러므로 해당 진단 이슈가 발생하는 사용자는 "C:\Windows\System32\Translation.exe" 파일을 찾아 직접 삭제하는 방식으로 문제를 해결하시기 바랍니다.

 

또한 해당 광고 프로그램 설치 파일로 인해 다음과 같은 광고 프로그램이 설치되었을 가능성이 매우 높으므로 추가적인 점검을 통해 설치되어 있는 경우에는 다음의 내용을 참고하여 광고 프로그램 삭제를 진행하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrCon.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\WinCtrProc.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe

해당 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더에 파일을 생성하여 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성할 수 있습니다.

그러므로 광고 프로그램 삭제를 위해서는 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView\Engin\ProVersion\Uninstall\Uninstaller.exe" 파일을 찾아서 직접 실행하여 프로그램 삭제를 진행한 후 "C:\Users\(사용자 계정)\AppData\Roaming\WinCtrView" 폴더를 직접 삭제하시면 됩니다.

 

■ 광고 프로그램<불필요한 프로그램(PUP)>에 대한 AhnLab V3 보안 제품의 치료 불가 진단 정책 비판

 

현재 AhnLab V3 Lite 무료 백신은 기본적으로 대다수의 불필요한 프로그램(PUP)에 대한 진단 및 치료를 제공하지 않는 것으로 알고 있으며, AhnLab V3 365 Clinic 유료 제품에서는 실시간 검사를 통한 차단 및 치료를 제공하고 있습니다.

 

그런데 간혹 유료 제품에서도 Win-PUP/MicroLab 진단명과 같이 진단된 파일에 대해 "치료 불가" 정책으로 표시되는 경우가 있으며, 해외 보안 제품에서 위와 같은 정책을 가진 제품은 없으리라 생각됩니다.

 

특히 안내 메시지처럼 프로그램에서 제공하는 삭제 기능을 통해 제거가 된다면 다행이지만, "C:\Windows\System32\Translation.exe" 파일이 무슨 파일인지 알 수도 없을 뿐더라 제어판을 통한 프로그램 삭제가 불가능한 경우인데도 이런 치료 정책을 고수한다는 것은 무책임한 행위라고 볼 수 있습니다.