울지않는벌새 : Security, Movie & Society

검색 도우미 : 이지클린 - ecmcepnvupt.exe (2015.6.26)

벌새::PUP Info

 

PC 최적화 프로그램을 설치하도록 유도하여 필수적으로 포함된 광고 기능을 통해 광고창 및 바로가기 아이콘을 생성할 수 있는 국내에서 제작된 이지클린 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.

해당 광고 프로그램의 설치 과정을 살펴보면 다수의 제휴 프로그램 설치를 유도하는 광고 배포용 프로그램을 통해 배포 파일<SHA-1 : 2a02f24d42662d2f0c71c6ae7d95749e70b3291a - 알약(ALYac) : Adware.Kraddare.295936 (VT : 32/55)>을 임시 폴더에 다운로드하여 가상 환경 및 특정 분석 도구를 체크한 후 실행 여부를 결정합니다.

그러므로 가상 환경 및 분석 도구를 체크하는 광고 프로그램 및 악성코드 감염을 사전에 예방하는 방법도 존재하므로 참고하시기 바랍니다.

 

이를 통해 특정 서버에서 easyclean_inst.zip 압축 파일을 다운로드 및 압축 해제하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\easyclean_inst.exe" 설치 파일<SHA-1 : 3c0e75ed940885554d56cbdbc75b3b7f944b9968 - 알약(ALYac) : Trojan.GenericKD.1728568 (VT : 42/54)>을 생성 및 실행합니다.

 

파일 경로

 C:\Program Files\EasyClean\easyclean.exe

MD5

 1b35be6191f4e0c0d3d1f20fb4241935

진단명

 TR/Changeling.A.4826 (Avira)

디지털 서명

 INSAFE

제품 이름

 이지클린

파일 설명

 컴퓨터관리프로그램

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\EasyClean\easycleans.exe

MD5

 dfeb38d5014675f1a4e01286620c1610

진단명

 PUP/Win32.IntClient.R83991 (AhnLab V3 365 Clinic)

파일 설명

 easycleans.exe

비고

 예약 작업(C:\Windows\Tasks\ecscepnvupt.job) 등록 파일

 

파일 경로

 C:\Program Files\EasyClean\easycleanu.exe

MD5

 1ad34051b0464a4afaa40d590c5dcbd0

진단명

 Win32:Adware-BRI [Adw] (avast!)

파일 설명

 easycleanu.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - EASYCLEAN = "C:\Program Files\EasyClean\easycleanu.exe" /run

비고

 시작 프로그램(EASYCLEAN) 등록 파일

 

파일 경로

 C:\Windows\ecmcepnvupt.exe

MD5

 844b669a5341c231b4103bf73e02bbbb

진단명

 Gen:Variant.Zusy.103708 (알약(ALYac))

파일 설명

 ecmcepnvupt.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ecmcepnvupt

비고

 서비스(ecmcepnvupt) 등록 파일

INSAFE 디지털 서명이 포함된 이지클린 광고 프로그램은 "C:\Program Files\EasyClean" 폴더와 Windows 폴더에 파일을 생성합니다.

  • 서비스(ecmcepnvupt) : "C:\Windows\ecmcepnvupt.exe" /srv
  • 시작 프로그램(EASYCLEAN) : "C:\Program Files\EasyClean\easycleanu.exe" /run
  • 예약 작업(ecscepnvupt) : C:\Program Files\EasyClean\easycleans.exe / sch

설치된 프로그램은 변종에 따라 다양한 이름으로 등록될 수 있는 서비스, 시작 프로그램, 예약 작업 영역에 자동 실행값을 등록하여 시스템 시작시 자동 실행되며, 이를 통해 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 easyclean.exe 파일을 메모리에 상주시킵니다.

설치된 이지클린 광고 프로그램은 외형적으로 "이지클린 1.0" PC 최적화 프로그램 기능을 제공하고 있지만, 필수적으로 포함된 광고 기능으로 인하여 자동 실행되어 메모리에 상주하는 "easyclean.exe + 다양한 광고 모듈(easyclean.dll, MWManagerM.dll 등 추정)"을 통해 인터넷 검색시 다양한 광고창을 생성할 수 있습니다.

 

이지클린 광고 프로그램 삭제 방법

 

기본적으로 이지클린 광고 프로그램은 제어판에 등록된 "이지클린" 삭제 항목을 통해 삭제할 수 있지만, 일부 설치 환경에서는 제어판을 통한 삭제를 지원하지 않을 수 있습니다.

 

그러므로 "C:\Program Files\EasyClean\easyclean_uninst.exe" 삭제 파일이 존재할 경우 직접 실행하여 프로그램 삭제를 진행하시기 바라며, 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 삭제를 진행하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ecmcepnvupt"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어의 변수는 서비스 등록 파일명에 종속됩니다.)

 

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 easyclean.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\EasyClean
  • C:\Windows\ecmcepnvupt.exe
  • C:\Windows\System32\Tasks\ecscepnvupt
  • C:\Windows\Tasks\ecscepnvupt.job

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - EASYCLEAN = "C:\Program Files\EasyClean\easycleanu.exe" /run

이지클린 광고 프로그램은 정상적인 PC 최적화 기능을 제공하는 프로그램처럼 구성되어 필수적으로 포함된 광고 기능을 구현하고 있으며, 매우 유사한 EasyClean 프로그램을 통해 생성된 업데이트 창을 통해 다양한 제휴 프로그램 설치를 유도하는 광고 배포용 프로그램도 존재합니다.