본문 바로가기

벌새::PUP Info

검색 도우미 : TargetService - tsstqowvqm.exe (2015.11.19)

반응형

 

인터넷 검색 및 웹 사이트 접속시 다양한 광고창 또는 바로가기 아이콘을 생성할 것으로 추정되는 국내에서 제작된 TargetService 광고 프로그램<SHA-1 : 2599c29ebe0e01e65c9407371e0d21e133c91edf - ESET : a variant of Win32/AdWare.Kraddare.IL>의 변종 정보가 확인되어 살펴보도록 하겠습니다.

해당 광고 프로그램은 2014년 하반기경부터 발견되고 있으며, 변종에 따라 "C:\Program Files\WindowTargetService" 폴더에 프로그램을 설치할 수 있습니다.

 

파일 경로

 C:\Program Files\TargetService\targetservice.exe

SHA-1

 f0a01049a5bb292bdd03d6c7b05ecce31e1f88c2

진단명

 PUP/Win32.KorAd.C931384 (AhnLab V3 365 Clinic)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run

비고

 시작 프로그램(TGSERV) 등록 파일, 메모리 상주 프로세스

 

파일 경로

 C:\Program Files\TargetService\targetservice_unin.exe

SHA-1

 cb27f39b84ab3602d66fa4f98ee9f45fb7c3bda5

진단명

 Generic.4C0 (AVG)

디지털 서명

 INSAFE

비고

 프로그램 삭제 파일

 

파일 경로

 C:\Program Files\TargetService\targetservices.exe

SHA-1

 af19956d53a6468d875a1af3e20584765b940a03

진단명

 Gen:Variant.Adware.Graftor.175958 (BitDefender)

디지털 서명

 INSAFE

비고

 예약 작업(tsstqowvqs) 등록 파일

 

파일 경로

 C:\Windows\tsstqowvqm.exe

SHA-1

 8f64bf352f5b4639f80dcb408dba049d3fe22219

진단명

 Win32:Adware-BRI [Adw] (avast!)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tsstqowvqm

비고

 서비스(tsstqowvqm) 등록 파일

 

파일 경로

 C:\Windows\System32\drivers\targetservice.sys

SHA-1

 3df7031d1cfbf72262366f8ebbfdcc1900e3ed36

진단명

 Trojan.Adkor.66 (Dr.Web)

디지털 서명

 INSAFE

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\targetservice

비고

 드라이버(targetservice) 등록 파일

INSAFE 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\TargetService" 폴더와 Windows 폴더 내에 파일을 생성하며, 시스템 시작시 다음과 같은 실행값을 통해 자동 실행되도록 구성되어 있습니다.

  • 서비스(tsstqowvqm) : "C:\Windows\tsstqowvqm.exe" /srv
  • 시작 프로그램(TGSERV) : "C:\Program Files\TargetService\targetservice.exe" /run
  • 예약 작업(tsstqowvqs) : C:\Program Files\TargetService\targetservices.exe /sch

자동 실행된 파일들은 가상 환경 및 특정 분석 도구 여부를 체크하여 실행 여부가 결정되며, 이를 통해 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 targetservice.exe 파일을 메모리에 상주시킵니다.

 

TargetService 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성하여 불편을 유발할 수 있으며, 업데이트 기능을 통해 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

TargetService 광고 프로그램 삭제 방법

기본적으로 해당 광고 프로그램은 제어판에 등록된 TargetService 삭제 항목을 이용하여 제거할 수 있으며, 제어판에 표시되지 않는 경우에는 "C:\Program Files\TargetService\targetservice_unin.exe" 파일을 찾아 직접 실행하여 삭제를 진행할 수 있습니다.

 

만약 프로그램 삭제 기능을 통해 제거할 수 없는 경우에는 다음의 절차를 참고하여 삭제하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 입력하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.

  • sc delete "tsstqowvqm"
  • sc delete "targetservice"

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 targetservice.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\TargetService
  • C:\Windows\System32\drivers\targetservice.sys
  • C:\Windows\System32\Tasks\tsstqowvqs
  • C:\Windows\Tasks\tsstqowvqs.job
  • C:\Windows\tsstqowvqm.exe

(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 영역에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 - TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run

불필요한 프로그램(PUP)의 경우에는 백신 진단 정책에 따라 진단되지 않는 경우가 존재하므로 40여종의 백신 엔진을 이용하여 실행되는 파일을 악성 여부를 확인하여 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하여 보호하시길 권장합니다.

728x90
반응형