인터넷 검색 및 웹 사이트 접속시 광고창을 생성할 수 있으며, 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows RCProvider" 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.
해당 프로그램은 2014년 6월경부터 배포가 이루어지고 있으며, 변종에 따라 다양한 서비스 및 파일명으로 설치될 수 있습니다.
|
파일 경로 |
C:\Program Files (x86)\Windows Rcp\config_adwa.dll |
|
MD5 |
C9819F632F3F5ADB2EF518AF92DF257F |
|
진단명 |
PUP/Win32.SubShop.C290653 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files (x86)\Windows Rcp\config_fileidc_new.dll |
|
MD5 |
ea6476a46d095b956c996897dfbd974f |
|
진단명 |
PUP/Win32.KeywordPop.R105897 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files (x86)\Windows Rcp\easyclean.dll |
|
MD5 |
efc2bcc8401205e806292c7e1854e0b7 |
|
진단명 |
PUP/Win32.Toolbar.C424641 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
미디어클릭 |
|
비고 |
실행 모듈 |
|
파일 경로 |
C:\Program Files (x86)\Windows Rcp\rcprovider.exe |
|
MD5 |
6b8d85e3bafddd2e7cf74727deeb0e6c |
|
진단명 |
PUP/Win32.IntClient.C408870 (AhnLab V3 365 Clinic) |
|
파일 설명 |
rcprovider.exe |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files (x86)\Windows Rcp\rcproviders.exe |
|
MD5 |
7e94770792e4f05d6ae9a07a21e99f8f |
|
진단명 |
Trojan-Downloader.Win32.Genome.rxoq (Kaspersky) |
|
파일 설명 |
rcproviders.exe |
|
비고 |
예약 작업(C:\Windows\Tasks\rcppcrnmumss.job) 등록 파일 |
|
파일 경로 |
C:\Windows\rcppcrnmumsm.exe |
|
MD5 |
345b51d9770fb183fab947a0065e5821 |
|
진단명 |
ADWARE/Kraddare.408576 (Avira) |
|
파일 경로 |
rcppcrnmumsm.exe |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rcppcrnmumsm |
|
비고 |
서비스(rcppcrnmumsm) 등록 파일 |
유효하지 않은 INSAFE, 미디어클릭 2종의 디지털 서명이 포함된 "Windows RCProvider" 광고 프로그램은 "C:\Program Files (x86)\Windows Rcp" 폴더와 Windows 폴더에 파일을 생성합니다.
- 서비스(rcppcrnmumsm) : "C:\Windows\rcppcrnmumsm.exe" /srv
- 예약 작업(rcppcrnmumss) : C:\Program Files (x86)\Windows Rcp\rcproviders.exe /sch
설치된 프로그램은 서비스와 예약 작업 영역에 등록된 자동 실행값을 통해 시스템 시작시 자동 실행되어 프로그램 업데이트 및 광고 구성값을 체크하여 rcprovider.exe 파일을 메모리에 상주시킵니다.
이를 통해 추가적인 제휴 프로그램이 서버에 등록되어 있는 경우 업데이트 창 생성을 통한 다수의 광고 프로그램 설치를 유도할 수 있으며, 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성할 수 있습니다.
특히 프로그램 설치 및 프로그램 실행시 사용자 PC 환경을 체크하여 가상 환경 및 특정 분석 도구가 포함되어 있는 경우 동작을 중지하도록 제작되어 있습니다.
■ "Windows RCProvider" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 "Windows RCProvider" 삭제 항목을 통해 프로그램 제거 기능을 제공하고 있으며, 만약 표시되어 있지 않은 경우에는 "C:\Program Files (x86)\Windows Rcp\rcprovider_unin.exe" 파일을 찾아 실행하시면 삭제를 진행할 수 있습니다.
추가적으로 프로그램에서 제공하는 삭제 기능을 통해 제거되지 않는 경우에는 다음과 같은 절차를 참고하여 삭제를 진행하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "rcppcrnmumsm"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어는 서비스 등록 파일명에 따라 변경될 수 있습니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 rcprovider.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\Windows Rcp
- C:\Windows\rcppcrnmumsm.exe
- C:\Windows\System32\Tasks\rcppcrnmumss
- C:\Windows\Tasks\rcppcrnmumss.job
"Windows RCProvider" 광고 프로그램은 기존의 유사한 기능을 가진 RCProvider, WinProvider 등의 다양한 광고 프로그램의 변종으로 대량 배포가 이루어지고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.