울지않는벌새 : Security, Movie & Society

해외 PC 점검 프로그램 : Reimage Repair

벌새::Analysis

해외 광고 프로그램이 생성하는 광고창을 통해 설치가 이루어질 수 있는 해외에서 제작된 PC 하드웨어 및 소프트웨어 점검을 통해 유료 결제를 유도하는 "Reimage Repair" 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 사이트를 확인해보면 한국어를 비롯한 다국어를 지원하고 있으며, 변종에 따라서는 "Reimage Protector" 이름으로 설치될 수도 있습니다.

프로그램 설치 과정을 살펴보면 배포 파일(SHA-1 : 897152b289e07d4178b3a7ba51ddc272ff823275)을 통해 프로그램 설치 파일(ReimagePackage1821.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\ReimagePackage.exe" 파일(<32비트> SHA-1 : c1c14bddaa3e9f98abf559b4887cfacc22d0a55e, <64비트> SHA-1 : eb2504dac82b4702f426106024a8f7a113bcc73f)로 생성된 후 다음과 같은 폴더에 파일을 생성합니다.

  • C:\Program Files\Reimage\Reimage Repair
  • C:\rei

이후 설치 파일이 임시 생성한 "C:\Users\(사용자 계정)\AppData\Local\Temp\nssF70C.tmp\ProtectorUpdater.exe" 파일(SHA-1 : 5de50b6370c9b01281fbd5ba3657b172b8bcbee0)은 특정 서버에서 추가적인 설치 파일(ProtectorPackage2009.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\UniProtectorPackage.exe" 파일(<32비트> SHA-1 : 40946a79a5443f13e6d3df09dce616790df884d4, <64비트> SHA-1 : 3d735860811c35cab1f0be50c5858e478511eeaf)로 생성된 후 "C:\Program Files\Reimage\Reimage Protector" 폴더에 파일을 생성합니다.

 

[생성 폴더 / 파일 등록 정보 : 일부 파일은 누락되었음을 밝힙니다.]

 

C:\Program Files\Reimage
C:\Program Files\Reimage\Reimage Protector
C:\Program Files\Reimage\Reimage Protector\ProtectorUpdater.exe
C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe :: 서비스(ReimageRealTimeProtector) 등록 파일, 예약 작업(ReimageUpdater) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Reimage\Reimage Protector\ReiProtectorM.exe
C:\Program Files\Reimage\Reimage Protector\ReiScanner.exe
C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe :: 메모리 상주 프로세스

C:\Program Files\Reimage\Reimage Repair
C:\Program Files\Reimage\Reimage Repair\LZMA.EXE
C:\Program Files\Reimage\Reimage Repair\Microsoft.VC90.CRT
C:\Program Files\Reimage\Reimage Repair\REI_AVIRA.exe
C:\Program Files\Reimage\Reimage Repair\REI_Axcontrol.dll
C:\Program Files\Reimage\Reimage Repair\REI_AxControl.inf
C:\Program Files\Reimage\Reimage Repair\REI_Axcontrol.lza
C:\Program Files\Reimage\Reimage Repair\REI_Engine.dll
C:\Program Files\Reimage\Reimage Repair\REI_Engine.lza
C:\Program Files\Reimage\Reimage Repair\REI_SupportInfoTool.exe
C:\Program Files\Reimage\Reimage Repair\Reimage Repair.url
C:\Program Files\Reimage\Reimage Repair\Reimage.exe :: 프로그램 실행 파일
C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe :: 예약 작업(Reimage Reminder) 등록 파일
C:\Program Files\Reimage\Reimage Repair\ReimageRepair.exe :: 바로 가기 아이콘 실행 파일
C:\Program Files\Reimage\Reimage Repair\ReimageSafeMode.exe
C:\Program Files\Reimage\Reimage Repair\savapi3.dll
C:\Program Files\Reimage\Reimage Repair\uninst.exe :: 프로그램 삭제 파일

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Reimage Repair.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Run in safe mode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair\Website.lnk
C:\ProgramData\Reimage Protector
C:\rei
C:\rei\AV
C:\rei\AV\avupdate.exe
C:\rei\AV\savapi3_restart.exe
C:\rei\AV\savapi3_start.exe
C:\rei\AV\savapi3_stop.exe
C:\rei\cpuidsdk.dll
C:\Users\(사용자 계정)\AppData\Local\Temp\ReimagePackage.exe
C:\Users\Public\Desktop\PC Scan & Repair by Reimage.lnk
C:\Windows\System32\Tasks\Reimage Reminder
C:\Windows\System32\Tasks\ReimageUpdater

"Reimage Limited" 디지털 서명이 포함된 "Reimage Repair" 프로그램은 "C:\Program Files\Reimage", "C:\rei" 폴더에 주요 파일을 생성합니다.

"ReimageRealTimeProtector (표시 이름 : Reimage Real Time Protector)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe" 파일(SHA-1 : 5a9367eac48e8afedd87d1585cb8d52ea314c0b8)을 자동 실행하여 "C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe" 파일(SHA-1 : 40101c7b56bad3db8c93469be797c72a9c969437)을 추가 로딩하여 메모리에 상주하도록 구성되어 있습니다.

  • 예약 작업(Reimage Reminder) : "C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe"
  • 예약 작업(ReimageUpdater) : C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe run_task

또한 예약 작업 영역에 Reimage Reminder, ReimageUpdater 2종의 작업 스케줄러를 등록하여 시스템 시작시 각각의 등록 파일을 자동 실행하여 프로그램 업데이트 체크를 수행하도록 구성되어 있습니다.

"Reimage Repair" 프로그램은 사용자가 바탕 화면에 생성된 "PC Scan & Repair by Reimage" 바로 가기 아이콘을 실행할 경우 "C:\Program Files\Reimage\Reimage Repair\ReimageRepair.exe" 파일(SHA-1 : 897152b289e07d4178b3a7ba51ddc272ff823275) 실행을 통해 "C:\Program Files\Reimage\Reimage Repair\Reimage.exe" 파일(SHA-1 : abb037f6d741f5a01b66f7dedd45cccad873c098)을 로딩하여 동작합니다.

 

실행된 프로그램은 자동으로 하드웨어, PC 보안, 레지스트리 등을 검사하여 다수의 문제가 발견되었다는 메시지를 통해 수리하도록 유도합니다.

특히 한 번의 체험판 사용 기회없이 유료 결제를 통해 문제를 해결하도록 제작된 전형적인 돈벌이 프로그램이며 한글화가 매우 정교하게 되어 있다는 점에서 주의가 요구됩니다.

만약 유료 결제가 이루어진 경우에는 "C:\rei\AV\avupdate.exe" 파일(SHA-1 : 737c73af5ce2e0b0b4810d278c14fbfbe18ca221)을 통해 Avira 엔진을 추가 다운로드하여 악성코드 검사 기능을 담당할 것으로 추정됩니다.

특히 "Reimage Repair" 프로그램이 설치된 일부 환경에서는 30초 단위로 "Reimage System Protection" 오류창이 생성되는 문제가 있다는 보고가 있으며, 해당 문제는 자체 보호 기능으로 프로세스 종료를 방해하는 메모리에 상주하는 "C:\Program Files\Reimage\Reimage Protector\ReiSystem.exe" 파일로 인해 발생합니다.

 

"Reimage Repair" 프로그램 삭제 방법

(a) "Reimage Repair" 프로그램이 실행 중인 경우에는 "Reimage PC Repair" 시스템 트레이 알림 아이콘에 등록된 트레이 아이콘 메뉴를 통해 프로그램을 종료하시기 바랍니다.(※ Windows 작업 관리자를 실행하여 Reimage.exe 프로세스를 종료해도 됩니다.)

(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "ReimageRealTimeProtector"] 명령어를 입력 및 실행할 경우 메모리에 상주하는 ReiGuard.exe, ReiSystem.exe 프로세스가 자동으로 종료됩니다.

(c) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Reimage Repair" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Reimage

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{28FF42B8-A0DA-4BE5-9B81-E26DD59B350A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\REI_AxControl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10ECCE17-29B5-4880-A8F5-EAD298611484}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{801B440B-1EE3-49B0-B05D-2AB076D4E8CB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9BB31AD8-5DB2-459E-A901-DEA536F23BA4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BD51A48E-EB5F-4454-8774-EF962DF64546}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\REI_AxControl.ReiEngine
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\REI_AxControl.ReiEngine.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FA6468D2-FAA4-4951-A53B-2A5CF9CC0A36}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Reimage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Reimage Repair
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{89BD13BD-5088-42C8-84A5-A05AE4A8B7A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C1AAE80B-41FE-42E9-BFAB-9B3BCA2BE23A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Reimage Reminder
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ReimageUpdater
HKEY_LOCAL_MACHINE\SOFTWARE\Reimage
HKEY_LOCAL_MACHINE\SOFTWARE\Volatile
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ReimageRealTimeProtector

 

"Reimage Repair" 프로그램은 자체는 국내외 보안 제품에서 불필요한 프로그램(PUP/PUA) 진단이 거의 없지만 과도한 검사 결과를 바탕으로 유료 결제를 유도하는 프로그램이므로 실수로 설치하여 고생하는 일이 없도록 하시기 바랍니다.