인터넷 검색 광고 및 광고 배너 등을 통해 유포되고 있는 시스템 최적화 기능이 포함된 해외에서 제작된 "SafePCRepair Internet Explorer Toolbar" 광고 툴바(Toolbar) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 Internet Explorer, Mozilla Firefox 웹 브라우저 환경에서는 EXE 실행 파일을 배포하며, Chrome 웹 브라우저 환경에서는 SafePCRepair 확장 프로그램을 추가하는 방식으로 설치가 이루어집니다.
설치 과정을 살펴보면 배포 파일<SHA-1 : a9a96993c7b9632f00a4cc13d6d423dbe64c779d - AhnLab V3 365 Clinic : PUP/Win32.EvdLookup.R163457 (VT : 20/55)> 실행을 통해 특정 서버에서 광고 툴바 설치를 위한 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\nsdC330.tmp\SafePCRepairSetup.exe" 파일<SHA-1 : 3ebadc947ccffbf75dd0f89d54ffb4c4b90ce6d7 - Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 24/56)>로 생성 및 실행되어 "C:\Program Files\SafePCRepair_89" 폴더에 프로그램을 설치합니다.
또한 생성된 "C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe" 파일은 특정 서버에서 시스템 최적화 프로그램(Mindspark SafePCRepair) 설치 파일(SafePCRepairSetup.exe)을 추가 다운로드하여 "C:\Program Files\SafePCRepair_89\bar\1.bin\{3493620C-8B3F-4D82-BEFE-F88AE26BE3E8}.exe" 파일<SHA-1 : 975492316d7e0d441b2c2db1f2f886e23dff460b - avast! : Win32:Mindspark-A [PUP] (VT : 14/56)>을 임시 생성 및 실행하여 "C:\Program Files\SafePCRepair" 폴더에 프로그램을 설치합니다.
C:\Program Files\SafePCRepair
C:\Program Files\SafePCRepair\IoloServiceWrapper.dll
C:\Program Files\SafePCRepair\ioloToolService.dll
C:\Program Files\SafePCRepair\ioloToolService.exe :: 서비스(ioloService) 등록 파일
C:\Program Files\SafePCRepair\log4net.dll
C:\Program Files\SafePCRepair\lua5.1.dll
C:\Program Files\SafePCRepair\Microsoft.Expression.Drawing.dll
C:\Program Files\SafePCRepair\MindSparkTools.dll
C:\Program Files\SafePCRepair\Newtonsoft.Json.dll
C:\Program Files\SafePCRepair\SPR.exe :: SafePCRepair 프로그램 실행 파일
C:\Program Files\SafePCRepair\TaskDialog.dll
C:\Program Files\SafePCRepair\Uninstall
C:\Program Files\SafePCRepair\uninstall.exe :: "Mindspark SafePCRepair" 프로그램 삭제 파일
C:\ProgramData\iolo
C:\Users\(사용자 계정)\AppData\Local\iolo
[생성 폴더 / 파일 등록 정보 : SafePCRepair Internet Explorer Toolbar 프로그램]
C:\Program Files\SafePCRepair_89
C:\Program Files\SafePCRepair_89\bar
C:\Program Files\SafePCRepair_89\bar\1.bin
C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll :: 도구 모음(SafePCRepair) 등록 파일 및 브라우저 도우미 개체(Toolbar BHO) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89barsvc.exe :: 서비스(SafePCRepair_89Service) 등록 파일, 메모리 상주 프로세스
C:\Program Files\SafePCRepair_89\bar\1.bin\89bprtct.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89highin.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\89htmlmu.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89httpct.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89idle.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89medint.exe :: 시작 프로그램(SafePCRepair EPM Support) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89regiet.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89skin.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\89skplay.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll :: 브라우저 도우미 개체(Search Assistant BHO) 등록 파일
C:\Program Files\SafePCRepair_89\bar\1.bin\89tpinst.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator.exe :: 메모리 상주 프로세스(32비트 환경)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator64.exe :: 메모리 상주 프로세스(64비트 환경)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\assist.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\BAT.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExt.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExtP89.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\DpnMngr.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\FF-NativeMessagingDispatcher.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HiddenToolbarReminder.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\InstallEnabler.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\t8EPMSup.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTEX.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTPEX.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\T8HTML.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\t8Res.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\T8TICKER.DLL
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard64.dll
C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe
C:\Program Files\SafePCRepair_89\bar\1.bin\Verify.dll
C:\Program Files\SafePCRepair_89\bar\assists
C:\Program Files\SafePCRepair_89\bar\gen1
C:\Program Files\SafePCRepair_89\bar\Message
C:\Program Files\SafePCRepair_89\bar\Settings
C:\Users\(사용자 계정)\AppData\Local\SafePCRepair_89
C:\Users\(사용자 계정)\AppData\LocalLow\SafePCRepair_89
C:\Program Files\SafePCRepair\IoloServiceWrapper.dll
- SHA-1 : 7a7667253f417ab977574bc94e928c613002f2de
- AVG : MyWebSearch (VT : 12/56)
C:\Program Files\SafePCRepair\ioloToolService.dll
- SHA-1 : 86b4b56702a7dd5d6a6a32029511f666cb60b9c5
- Malwarebytes : PUP.Optional.MindSpark (VT : 11/56)
C:\Program Files\SafePCRepair\ioloToolService.exe
- SHA-1 : 7c29d7ea9f25f038e8c80636396edf65f9312e4b
- Hauri ViRobot : Adware.Mindspark.2624352[h] (VT : 12/55)
C:\Program Files\SafePCRepair\log4net.dll
- SHA-1 : cdd333c65dacae329c4c7877290f67f1ceb628da
- avast! : Win32:Mindspark-A [PUP] (VT : 12/56)
C:\Program Files\SafePCRepair\Microsoft.Expression.Drawing.dll
- SHA-1 : 25ea4c016be7e68ca912830e3d5bab79c11766d7
- AVG : MyWebSearch (VT : 12/56)
C:\Program Files\SafePCRepair\MindSparkTools.dll
- SHA-1 : 8934bc3ab5755e9711351d2b08d43f7d8c6e5f83
- Malwarebytes : PUP.Optional.MindSpark (VT : 11/56)
C:\Program Files\SafePCRepair\Newtonsoft.Json.dll
- SHA-1 : 8a00e329ed02c51c706400e7fd38dcf2f9d487f8
- avast! : Win32:Mindspark-A [PUP] (VT : 11/56)
C:\Program Files\SafePCRepair\SPR.exe
- SHA-1 : 8320e3d470b59def37cf57c8506251102e0c5fcc
- AVG : MyWebSearch (VT : 11/56)
C:\Program Files\SafePCRepair\TaskDialog.dll
- SHA-1 : 4295f7ae875969f835ac715cc8f9199cc4a6eee7
- avast! : Win32:Mindspark-A [PUP] (VT : 11/54)
C:\Program Files\SafePCRepair\uninstall.exe
- SHA-1 : c9ee8b9dc4d98916a6a8ef1905d91f2934921569
- Malwarebytes : PUP.Optional.MindSpark (VT : 10/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll
- SHA-1 : 68a9d103f794612a22f3a0ea8eee20cc90fcdbde
- avast! : Win32:Mindspark-A [PUP] (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89barsvc.exe
- SHA-1 : 3d532e02194ec7cdbb8c682ce1d66b5daf61cbf2
- Hauri ViRobot : Adware.Mindspark.89424[h] (VT : 22/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89bprtct.dll
- SHA-1 : 15c4aa1b8b3e8c29d399e127a180c98e1ef16457
- ESET : a variant of Win32/Toolbar.MyWebSearch.AS potentially unwanted (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk.dll
- SHA-1 : a2a1071fe490e47fb2a88e05d3f8102ad255cd43
- Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89dlghk64.dll
- SHA-1 : 30c0193255f19de1713b05636e191abdc49cfc80
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89highin.exe
- SHA-1 : 313658fb0dd13dec5e161e7df1e535e4f5c63a4f
- AVG : Toolbar.MyWebSearch.BQ (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89htmlmu.dll
- SHA-1 : f0a92d7a5d2bbefa3d94672ee46022713d345e07
- avast! : Win32:Mindspark-A [PUP] (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89httpct.dll
- SHA-1 : adb8ee2bddbc195fb631dca000a7b883463578a0
- Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89idle.dll
- SHA-1 : 3d9d57030fde0dcd90074a2f255c145af50e63fd
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89medint.exe
- SHA-1 : 84df210725ac743f6e5c4071f894f96ae71fd1d2
- ESET : a variant of Win32/Toolbar.MyWebSearch.AJ potentially unwanted (VT : 20/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89regiet.dll
- SHA-1 : 658e2ab881f1fc6e883ad78da52e8940cb619b45
- avast! : Win32:Mindspark-A [PUP] (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89skin.dll
- SHA-1 : 37f729e8821f39bf2973ccc5eb9c93fcb024c8fa
- Malwarebytes : PUP.Optional.MindSpark (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89skplay.exe
- SHA-1 : cc35363b5fef4161ec6c10dc4c0e8bc9183a03b2
- AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.C107752 (VT : 20/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll
- SHA-1 : 14ee18856d2772194f5dbff5bddf3a6edc12f3b5
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\89tpinst.dll
- SHA-1 : c1dd869f74e8baff9e1a69cb24b3bba19653ca44
- ESET : a variant of Win32/Toolbar.MyWebSearch.AJ potentially unwanted (VT : 16/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator.exe
- SHA-1 : 65e4f3e1a57c0775919d0ebdd16b949e8b87e354
- Hauri ViRobot : Adware.Mindspark.229712[h] (VT : 19/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegrator64.exe
- SHA-1 : 4e4c6cc4f3538fa38615f5cdda91166e61c4112f
- Hauri ViRobot : Adware.Mindspark.265040[h] (VT : 14/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub.dll
- SHA-1 : 2bd3809a31765edfeb4e9c900595306db8f9c30e
- AVG : Toolbar.MyWebSearch.BO (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\AppIntegratorStub64.dll
- SHA-1 : e4b3b4bb499259fa1dc2e2057c6d4abada9cad78
- avast! : Win32:Mindspark-A [PUP] (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor.dll
- SHA-1 : 87390f61cadc233360ba98db24d809ded1a376fa
- Malwarebytes : PUP.Optional.MindSpark (VT : 17/54)
C:\Program Files\SafePCRepair_89\bar\1.bin\AssistMonitor64.dll
- SHA-1 : 82a26811bf258b8f17dc2efe97a1267f5f1ac70d
- ESET : a variant of Win64/Toolbar.MyWebSearch.G potentially unwanted (VT : 13/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter.dll
- SHA-1 : fe1a6ca768db1fa6293aafc3efa16db127257586
- avast! : Win32:Mindspark-A [PUP] (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\arbiter64.dll
- SHA-1 : 3d229a6b301c0a28a6bda7c060b8dbce4241585b
- ESET : a variant of Win64/Toolbar.MyWebSearch.F potentially unwanted (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Bar\assist.exe
- SHA-1 : 0aa563c12c22b7144f94bc0f228fd8ca90a0d4bc
- AVG : Toolbar.MyWebSearch.BM (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\Apa\Dialog\assist.exe
- SHA-1 : 8759f6dd1e0a63e259e2240ba10e3888577ab635
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 19/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter.dll
- SHA-1 : fa5989e5d72b0e7650d068da2cd873f6f807ef45
- AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.R120263 (VT : 19/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\arbiter64.dll
- SHA-1 : 09d688156a92868a91852f2eed2fbc14998123cf
- Malwarebytes : PUP.Optional.MindSpark (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_default_search_provider\assist.exe
- SHA-1 : f509e45d28f43024249233c7e987d835dc737a1b
- ESET : a variant of Win32/Toolbar.MyWebSearch.AF potentially unwanted (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter.dll
- SHA-1 : 5f5c593f6b8c5c6cf1a3e3864fafdf098b7a7489
- avast! : Win32:Mindspark-A [PUP] (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\assists\ie_enable\arbiter64.dll
- SHA-1 : 8dcf2ce9efa9f3914c9828d74b3d631d9b1dc081
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 16/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\BAT.dll
- SHA-1 : 2d2bef94e7b3dcd056b877de333181c952535f67
- Malwarebytes : PUP.Optional.MindSpark (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExt.dll
- SHA-1 : 3a8b4e42b764fb9a8e29b687d09dfeaf7d4ff469
- AVG : Toolbar.MyWebSearch.BW (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\CrExtP89.exe
- SHA-1 : 30e5da925a16524d23038501b9a0e1d82166bca3
- AVG : Toolbar.MyWebSearch.BJ (VT : 19/55)
C:\Program Files\SafePCRepair_89\bar\1.bin\DpnMngr.dll
- SHA-1 : bff5bec05bfcfcec1cbb7f8780473caf6da92b53
- AVG : Toolbar.MyWebSearch.BK (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\FF-NativeMessagingDispatcher.dll
- SHA-1 : a0f32eb0cc9f13a35e05a4fa2cdddf2c03a5e150
- AVG : Toolbar.MyWebSearch.BI (VT : 19/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\HiddenToolbarReminder.dll
- SHA-1 : d3fd88b621bf13d50340f6162207591ba1267671
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr.dll
- SHA-1 : 33f2e461da26eb0934f6664e9992ea4975f67494
- AVG : Toolbar.MyWebSearch.BH (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\HkFxMgr64.dll
- SHA-1 : 1134745bf7765a807b812c63b58937a120f2831d
- avast! : Win32:Mindspark-A [PUP] (VT : 15/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\InstallEnabler.dll
- SHA-1 : de9fb9fe90d0c9ff6c4da3a666a2259f5bc8fbfd
- ESET : a variant of Win32/Toolbar.MyWebSearch.AU potentially unwanted (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\t8EPMSup.dll
- SHA-1 : f7e9928aa98eed7ce27e47488cbcfc5efc3e6d9c
- AVG : Toolbar.MyWebSearch.BU (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTEX.DLL
- SHA-1 : 53e6d5b6e32305ccb2f20b5673041b41de5681ca
- Malwarebytes : PUP.Optional.MindSpark (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\T8EXTPEX.DLL
- SHA-1 : f77e211e6c9de7e582a98d76029c8a10d3c3abce
- Kaspersky : not-a-virus:WebToolbar.Win32.MyWebSearch.tq (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\T8HTML.DLL
- SHA-1 : 6f8f841ebaba18818c31228c2618d463ffe01f8f
- avast! : Win32:Mindspark-A [PUP] (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\t8Res.dll
- SHA-1 : 5943cad09024fc9830cf3bc6913561d917986ff3
- Hauri ViRobot : Adware.Mindspark.173904[h] (VT : 12/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\T8TICKER.DLL
- SHA-1 : fb82b446f07abccd54f9e54c78b390ec06ec411c
- ESET : a variant of Win32/Toolbar.MyWebSearch.AE potentially unwanted (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard.dll
- SHA-1 : c742427f90eeb47ed105a864c75a7ee4546327c1
- AVG : Toolbar.MyWebSearch.BX (VT : 18/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\ToolbarGuard64.dll
- SHA-1 : 8293744ba14e25ad6f93d2792e5d438f87b44ba3
- Malwarebytes : PUP.Optional.MindSpark (VT : 15/55)
C:\Program Files\SafePCRepair_89\bar\1.bin\TPIManagerConsole.exe
- SHA-1 : f46e8d8c326c804f343d7693d178edf498616bc1
- AVG : Toolbar.MyWebSearch.AW (VT : 17/56)
C:\Program Files\SafePCRepair_89\bar\1.bin\Verify.dll
- SHA-1 : d6e037ef885acdace24243dd8e345917ca15cec4
- AhnLab V3 365 Clinic : PUP/Win32.MyWebSearch.C975317 (VT : 18/56)
"Mindspark Interactive Network" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\SafePCRepair", "C:\Program Files\SafePCRepair_89" 폴더에 주요 파일을 각각 생성합니다.
1. "Mindspark SafePCRepair" 프로그램 정보
"ioloService (표시 이름 : ioloToolService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SafePCRepair\ioloToolService.exe" 파일을 자동 실행하도록 구성되어 있습니다.
"C:\Program Files\SafePCRepair" 폴더에 생성된 파일은 iolo 업체에서 제공하는 System Mechanic 시스템 최적화 프로그램 유료 결제 유도 목적으로 제작된 프로그램이지만, 사용자가 "C:\Program Files\SafePCRepair\SPR.exe" 파일을 찾아 직접 실행해야지 동작하게 되어 있다는 점에서는 SafePCRepair 프로그램의 진짜 목적은 광고로 추정됩니다.
특히 설치된 프로그램의 삭제 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair)을 살펴보면 DisplayName 값에 프로그램 이름을 표시하지 않는 방식으로 제어판에 표시하지 않고 있습니다.
2. "SafePCRepair Internet Explorer Toolbar" 프로그램 정보
"C:\Program Files\SafePCRepair_89" 폴더에 설치된 "SafePCRepair Internet Explorer Toolbar" 광고 툴바 프로그램은 "SafePCRepair_89Service (표시 이름 : SafePCRepairService)" 서비스 항목을 등록하여 시스템 시작시 "C:\PROGRA~1\SAFEPC~1\bar\1.bin\89barsvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
또한 Windows 시작시 ["C:\PROGRA~1\SAFEPC~1\bar\1.bin\89medint.exe" t8EPMSup.dll,S] 파일을 시작 프로그램(SafePCRepair EPM Support)으로 등록하여 자동 실행한 후 종료 처리합니다.
프로그램 설치시 사용자가 기본 검색 공급자 항목에 체크한 경우 Internet Explorer 웹 브라우저 실행시 "Ask Web Search (int.search.tb.ask.com)"로 변경을 시도할 수 있으며, Internet Explorer 웹 브라우저 및 Windows 탐색기 실행시 자동으로 AppIntegrator.exe (32비트), AppIntegrator64.exe (64비트) 파일이 실행되어 메모리에 상주합니다.
프로그램이 설치된 환경에서는 홈 페이지가 "Ask Home Page (home.tb.ask.com)"로 자동 변경되며, 도구 모음에 표시된 SafePCRepair 광고 툴바(Toolbar)에 포함된 시스템 최적화 메뉴가 존재하지만 실제 동작으로 연결되지는 않는 것으로 확인되고 있습니다.
|
이름 |
SafePCRepair |
|
게시자 |
Mindspark Interactive Network |
|
유형 |
도구 모음 |
|
CLSID |
{A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1} |
|
폴더 / 파일 |
C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll |
|
이름 |
Toolbar BHO |
|
게시자 |
Mindspark Interactive Network |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{1FC509DF-4B29-4AB3-96E6-47C178D60287} |
|
폴더 / 파일 |
C:\Program Files\SafePCRepair_89\bar\1.bin\89bar.dll |
|
이름 |
Search Assistant BHO |
|
게시자 |
Mindspark Interactive Network |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{5D13BF91-EA09-4ED8-9ACD-C6BAD32617B9} |
|
폴더 / 파일 |
C:\Program Files\SafePCRepair_89\bar\1.bin\89SrcAs.dll |
Internet Explorer 웹 브라우저에 추가된 SafePCRepair 광고 툴바(Toolbar)는 인터넷 검색시 Ask.com 검색 서비스로 연결을 제공합니다.
3. Chrome 웹 브라우저 환경에서의 SafePCRepair 확장 프로그램 정보
Chrome 웹 브라우저 환경에서는 SafePCRepair 확장 프로그램을 추가하는 방식으로 Internet Explorer 웹 브라우저와 동일하게 홈 페이지 정보를 수정할 수 있습니다.
Chrome 웹 브라우저 실행시 "SafePCRepair by myway"를 새 탭(New Tab)으로 실행하도록 설정이 변경됩니다.
그러므로 Chrome 웹 브라우저에 추가된 경우 확장 프로그램(chrome://extensions)에 등록된 SafePCRepair 항목을 찾아 사용 해제한 후 휴지통 아이콘을 클릭하여 삭제하시기 바랍니다.
■ "SafePCRepair Internet Explorer Toolbar" 광고 툴바 삭제 방법
해당 프로그램은 "C:\Program Files\SafePCRepair", "C:\Program Files\SafePCRepair_89" 폴더에 각각의 프로그램으로 설치되었지만 삭제시에는 "SafePCRepair Internet Explorer Toolbar" 삭제 항목을 이용하여 일괄 삭제 처리가 이루어집니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SafePCRepair_89Service"] 명령어를 입력 및 실행하여 89barsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.
(b) 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 제어판을 실행한 후 Windows 작업 관리자를 실행하여 메모리에 상주하는 AppIntegrator.exe (32비트) 또는 AppIntegrator64.exe (64비트) 프로세스를 찾아 종료하시기 바랍니다.
(c) 제어판에 등록된 "SafePCRepair Internet Explorer Toolbar" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있으며, 프로그램 종료 후 생성된 "Uninstall SafePCRepair Internet Explorer Toolbar" 창의 "예(Y)" 버튼을 클릭한 후 반드시 Windows 재부팅을 진행하시기 바랍니다.
참고로 프로그램 삭제 후 생성된 메시지 창에서는 웹 브라우저 홈 페이지 및 기본 검색 공급자 정보를 사용자가 직접 수정하도록 안내하고 있습니다.
(d) Windows 재부팅 후 다음의 폴더가 존재할 경우 삭제하시기 바랍니다.
- C:\ProgramData\iolo
- C:\Users\(사용자 계정)\AppData\Local\iolo
(e) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "SafePCRepair_89Service"] 명령어를 입력 및 실행하여 삭제되지 않은 ioloService 서비스 항목을 자동 삭제하시기 바랍니다.
(f) Internet Explorer 웹 브라우저의 인터넷 옵션 메뉴를 실행하여 홈 페이지 주소(home.tb.ask.com)를 사용자가 원하는 주소로 변경하시기 바랍니다.
(g) Internet Explorer 웹 브라우저의 기본 검색 공급자 설정이 변경된 경우에는 "추가 기능 관리 → 검색 공급자" 메뉴에 표시된 Bing 또는 사용자가 원하는 검색 공급자를 선택하여 "기본값으로 설정"한 후 "Ask Web Search" 항목을 선택하여 "제거"하시기 바랍니다.
HKEY_CURRENT_USER\Software\AppDataLow\Software\Mindspark
HKEY_CURRENT_USER\Software\AppDataLow\Software\Mindspark\SafePCRepair
HKEY_CURRENT_USER\Software\AppDataLow\Software\SafePCRepair_89
HKEY_CURRENT_USER\Software\Classes\CLSID\{be823b8c-a7ec-4078-a321-0f8046cbb48a}
HKEY_CURRENT_USER\Software\CodeGear
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {1FC509DF-4B29-4AB3-96E6-47C178D60287}
- {5D13BF91-EA09-4ED8-9ACD-C6BAD32617B9}
- {A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = http://home.tb.ask.com/index.jhtml?n=781BE04C&p2=^AW7^xdm009^YYA^kr&ptb=88F99ADF-4975-48EC-B6B6-
814F1AD5C62A&si=CM3mu4ai1ccCFdgkvQod8NEPYw :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
- DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전 (Bing)
- DefaultScope = {8684a7c7-3ade-4208-ad43-ad57a1af352c} :: 변경 후 (Ask Web Search)
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{8684a7c7-3ade-4208-ad43-ad57a1af352c}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
- {A9D9EA68-5D09-43EF-A0C5-6F6A6F82A0E1}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
- {be823b8c-a7ec-4078-a321-0f8046cbb48a}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CFBE264C-912E-4DA5-B67B-790B27D6D338}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\ioloToolService.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{10019e3c-1039-4c6a-8231-0c657afc4bc4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1fc509df-4b29-4ab3-96e6-47c178d60287}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{43223489-51e1-4e5c-bbc4-3645dce39afe}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5806dc83-95c8-4120-a305-cbce6260adf1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5d13bf91-ea09-4ed8-9acd-c6bad32617b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5ed1334e-4e55-40cd-accb-05ce52ad981d}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{79223c67-251e-4447-94fe-762be858d73e}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D6E502F-02F7-46E9-AA46-D3364038B6F7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{816098C9-EC16-4106-9FF7-E19580B2C338}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{a9d9ea68-5d09-43ef-a0c5-6f6a6f82a0e1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{b6de1d4c-f21b-4056-a99c-1727fd6400ce}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e81003f0-8f21-4a23-8142-403d821198ac}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{fe97fe9a-ef03-47e0-9df9-8ebb728c5d93}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2438F6B7-0532-4C8C-9C5C-B34935DD3D70}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{34930B93-003D-4FF8-BF64-6A6F27547B0E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{356E8E19-4DEB-4F01-8DB4-1A0C99129CE7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{35C03DE9-8BA0-4B87-B3D1-51944C349FF1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3A98E922-A041-4D48-BE67-85A8E2E9B618}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C6E6F5A-8105-423A-AD2C-892FDAC11F49}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{499616EC-7C3D-499E-95ED-5D37D7FC7A3F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5160D776-E6C7-450A-AFB8-3BF0D83641A3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{535062C7-0E84-4CD0-BEB2-59F41DD1A8F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{565ABC73-E8CB-4261-8FDE-C281445CA53D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{56AD4096-50B4-48CA-9159-F05D340DC986}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{59B4F810-41AC-40F0-9FF1-703EAD14C290}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5AB21B6C-9EAA-465D-9C21-A1F75981773C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{7E84E65B-E911-4DC3-B316-E2E854343D1B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{882CEBE6-479B-48C9-BA4C-9E287BFD7ADC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9007902D-06A3-4BFB-AEAC-9C335E74B91F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9CDABDB6-9522-4A27-B6C3-F1F0DB584A31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{9E6E74B8-655A-4E4E-B5E0-6930412A7D55}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A0222970-4A74-4E1D-B0B7-F83D42AEB676}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A42FD199-B78F-452F-B31F-5755D6105704}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A583156B-8B91-4C89-9ADB-5EE1D305C03C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A5935A23-63D1-4216-B6B3-7B392880EB21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A983B26D-76CB-41C6-947E-4EEFF0906747}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B24F3E66-6E22-456F-85F0-43BEF5784F6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B4BCF535-178F-43C9-98B3-1C5447AAF153}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B98BE44D-266A-45FE-814D-DB708279E238}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C62485E9-50DB-4F12-AE49-5D0A9B8BAC2C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CE2DC737-4634-4A55-A436-9C2C3E857053}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D5731C13-597C-4756-8009-A21C02AF250F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DD64BDF7-3A2E-452E-BA14-6F17554EB018}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ioloToolService.ToolManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLMenu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLMenu.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLPanel
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.HTMLPanel.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.PseudoTransparentPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.PseudoTransparentPlugin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.SettingsPlugin
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.SettingsPlugin.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.ToolbarProtector
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SafePCRepair_89.ToolbarProtector.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0BC5607D-DC04-410A-B137-73F2EE733596}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{154690A0-7778-41B5-A3AB-EB51E2482B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{63498647-B3EF-4A8A-8C98-163ECF8048FE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{95CD0B4B-5782-435E-993D-BA07B30710A6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B2A921D8-E831-468F-BBC6-16416342C0A7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BD821925-6AEE-4FFF-A8E8-7AB1F50B0F4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C889A354-08D6-46F5-8C68-C6481023D6DE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CCB31621-E2C6-43E7-B5D8-2B161973D5C3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727\NGENService\
Roots\C:/Program Files/SafePCRepair/SPR.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ddeae50-1858-4f3a-8fa9-4774f02eef86}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{2438f6b7-0532-4c8c-9c5c-b34935dd3d70}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5ed1334e-4e55-40cd-accb-05ce52ad981d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{63f9f932-ba95-42af-bb2b-51d8431db9b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{a983b26d-76cb-41c6-947e-4eeff0906747}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{8684a7c7-3ade-4208-ad43-ad57a1af352c}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
- {a9d9ea68-5d09-43ef-a0c5-6f6a6f82a0e1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1fc509df-4b29-4ab3-96e6-47c178d60287}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5d13bf91-ea09-4ed8-9acd-c6bad32617b9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{5806dc83-95c8-4120-a305-cbce6260adf1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{816098C9-EC16-4106-9FF7-E19580B2C338}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{e81003f0-8f21-4a23-8142-403d821198ac}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{fe97fe9a-ef03-47e0-9df9-8ebb728c5d93}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SafePCRepair EPM Support = "C:\PROGRA~1\SAFEPC~1\bar\1.bin\89medint.exe" t8EPMSup.dll,S
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Mindspark SafePCRepair
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SafePCRepair_89bar Uninstall Internet Explorer
HKEY_LOCAL_MACHINE\SOFTWARE\SafePCRepair_89
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ioloService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SafePCRepair_89Service
"SafePCRepair Internet Explorer Toolbar" 광고 툴바(Toolbar) 프로그램은 시스템 최적화 기능을 제공하는 것처럼 구성되어 있지만 실질적으로는 홈 페이지 및 기본 검색 공급자 변경이 주목적으로 판단되므로 설치로 인하여 불편을 겪지 않도록 주의하시기 바랍니다.