◇ 광고 프로그램 삭제 관련 문의 방법
IP 확인 프로그램 설치를 통해 자동으로 광고창 생성 및 업데이트 창 생성을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows IP View (XP,Win7,Win8)" 광고 프로그램의 변종 정보가 수집되어 공개해 드립니다.
해당 광고 프로그램은 설치시 서비스 파일명을 다양하게 변경하는 변종이 존재하므로 참고하시기 바랍니다.
우선 설치 과정을 살펴보면 배포 파일<SHA-1 : bbac255bba7c64cdc24a81a77b8b437ff5d7f6f9 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.rf (VT : 35/55)> 실행시 가상 환경 및 특정 분석 도구를 체크한 후 myipview_inst.zip 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\myipview_inst.exe" 파일<SHA-1 : 97f559cbac1eddab7bac8405a2f9c7f6ea5e322e - Hauri ViRobot : Adware.Agent.497664.B[h] (VT : 37/55)>로 생성 및 실행되어 다음과 같은 프로그램을 설치합니다.
참고로 광고(악성) 프로그램 설치(실행)시 가상 환경 및 분석 도구를 체크하여 설치(실행)을 중지하도록 제작된 경우가 있으므로 이를 역이용하는 방법이 있으므로 참고하시기 바랍니다.
| 파일 경로 | C:\Program Files\Windows IPView\config_bangabmoa.dll |
| SHA-1 | 94fa563766eb8df7d02fda0249087a15ee9c8b9b |
| 진단명 | Trojan-Clicker/W32.Kraddare.2075176 (nProtect) |
| 디지털 서명 | INSAFE |
| 비고 | 실행 모듈, config_filejil.dll 또는 config_livefile.dll 파일명으로 생성 가능 |
| 파일 경로 | C:\Program Files\Windows IPView\MWManagerM.dll |
| SHA-1 | 77e29207aaffefc8abbdc68e6d44fe4441d52058 |
| 진단명 | Adware.Agent.414256.A[h] (Hauri ViRobot) |
| 디지털 서명 | The A MEDIA |
| 비고 | 실행 모듈 |
| 파일 경로 | C:\Program Files\Windows IPView\myip.exe |
| SHA-1 | 7f559d059162af7d53ad35192791e95a2c200ee9 |
| 비고 | IP 확인 프로그램 실행 파일 |
| 파일 경로 | C:\Program Files\Windows IPView\myipview.exe |
| SHA-1 | 693dac9c36b032a586fdc9df54c1a9fc341af64c |
| 진단명 | RDN/Generic PUP.x!ctz (McAfee) |
| 비고 | 메모리 상주 프로세스 |
| 파일 경로 | C:\Program Files\Windows IPView\myipviews.exe |
| SHA-1 | 4dc83b7edda486e052ba90fcc5ef6bfa437478f6 |
| 진단명 | Win32:Adware-BRI [Adw] (avast!) |
| 비고 | 예약 작업(C:\Windows\Tasks\ipspipnvupi.job) 등록 파일 |
| 파일 경로 | C:\Program Files\Windows IPView\myipviewu.exe |
| SHA-1 | 288054a0e6997b39afc0a7b2ed2afced9a65f78a |
| 진단명 | Adware.Agent.590336.B[h] (Hauri ViRobot) |
| 레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - MYIPVIEW = "C:\Program Files\Windows IPView\myipviewu.exe" /run |
| 비고 | 시작 프로그램(MYIPVIEW) 등록 파일 |
| 파일 경로 | C:\Windows\ipmpipnvupi.exe |
| SHA-1 | 29e23674e9dbe6d485155576a0917ba44db1b16b |
| 진단명 | Gen:Variant.Adware.Strictor.57030 (알약(ALYac)) |
| 레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ipmpipnvupi |
| 비고 | 서비스(ipmpipnvupi) 등록 파일 |
INSAFE, The A MEDIA 2종의 디지털 서명이 포함된 "Windows IP View (XP,Win7,Win8)" 광고 프로그램은 "C:\Program Files\Windows IPView" 폴더와 Windows 폴더에 파일을 생성합니다.
- 서비스(ipmpipnvupi) : "C:\Windows\ipmpipnvupi.exe" /srv
- 시작 프로그램(MYIPVIEW) : "C:\Program Files\Windows IPView\myipviewu.exe" /run
- 예약 작업(ipspipnvupi) : C:\Program Files\Windows IPView\myipviews.exe /sch
설치된 광고 프로그램은 다양한 서비스, 시작 프로그램, 예약 작업 영역에 자동 실행값을 등록하여 시스템 시작시 자동 실행되도록 구성되어 있으며, 이를 통해 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 myipview.exe 파일을 메모리에 상주하도록 구성되어 있습니다.
이 과정에서 추가적인 제휴 프로그램 정보가 포함되어 있을 경우 업데이트 안내창 생성을 통해 다수의 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
프로그램이 설치된 환경에서는 IP 확인 기능 사용을 위해 "C:\Program Files\Windows IPView\myip.exe" 파일을 실행할 경우 특정 광고 서버에서 사용자 IP 정보를 체크하여 표시합니다.
해당 광고 프로그램이 설치된 환경에서는 웹 브라우저 이용 과정에서 추가적인 광고 모듈(config_bangabmoa.dll, MWManagerM.dll) 로딩을 통해 다양한 광고창을 생성할 수 있습니다.
■ "Windows IP View (XP,Win7,Win8)" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 등록된 "Windows IP View (XP,Win7,Win8)" 삭제 항목을 통해 프로그램 삭제를 진행할 수 있지만, 일부 설치 환경에서는 삭제 항목이 표시되지 않는 경우가 있는 것으로 보입니다.
그러므로 "C:\Program Files\Windows IPView\myipview_uninst.exe" 프로그램 삭제 파일이 존재할 경우 직접 실행하여 제거를 진행하시기 바라며, 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "ipmpipnvupi"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어의 변수값은 서비스 등록 파일명에 따라 달라집니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 myipview.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\Windows IPView
- C:\Windows\ipmpipnvupi.exe
- C:\Windows\System32\Tasks\ipspipnvupi
- C:\Windows\Tasks\ipspipnvupi.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- MYIPVIEW = "C:\Program Files\Windows IPView\myipviewu.exe" /run
"Windows IP View (XP,Win7,Win8)" 광고 프로그램은 IP 정보 확인 기능을 제공하지만 필수적으로 포함된 광고 기능으로 인해 원치않는 광고창 생성 및 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.