마우스(Mouse) 우클릭 방지를 해제할 수 있는 기능을 제공하면서 인터넷 검색 및 웹 사이트 접속시 다양한 광고를 노출시킬 수 있는 국내에서 제작된 "GeniusMouse for Win32" 광고 프로그램(SHA-1 : e2e76f3652a3e6fd385f68f030afa93fed8ca96f - avast! : Win32:Adware-BRI [Adw])의 변종 정보가 수집되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 변종에 따라 다양한 서비스 및 작업 스케줄러 값을 등록할 수 있으며, "C:\GeniusMouse" 또는 "C:\Users\(사용자 계정)\AppData\Local\GeniusMouse" 또는 "C:\Users\(사용자 계정)\AppData\Roaming\GeniusMouse" 폴더에 파일을 생성할 수 있습니다.
|
파일 경로 |
C:\GeniusMouse\342.dll |
|
SHA-1 |
767d2d5677b249569e7d23d281afa63829b61a36 |
|
진단명 |
PUP/Win32.KorAd.R133384 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
God of Advertising Co.,Ltd |
|
파일 경로 |
C:\GeniusMouse\filepds.dll |
|
SHA-1 |
121768e53ac24f501f5ebdb350bd81090956e2a0 |
|
진단명 |
Adware.Kraddare.295936 (ALYac) |
|
파일 경로 |
C:\GeniusMouse\geniusm.exe |
|
SHA-1 |
55bb307ecaae5e9813e3c76b559352015caef26f |
|
진단명 |
Adware.Agent.415656[h] (Hauri ViRobot) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\GeniusMouse\geniusmouse.exe |
|
SHA-1 |
2467f4af01cc4ee5be93e23983b3eee29cb13933 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
비고 |
메모리 상주 프로세스, GeniusMouse 프로그램 실행 파일 |
|
파일 경로 |
C:\GeniusMouse\geniusmouse_unin.exe |
|
SHA-1 |
27202b4662cd730e62219c96ea36a793d987ad2c |
|
진단명 |
Generic.7AD (AVG) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\GeniusMouse\geniusmouses.exe |
|
SHA-1 |
bde5fc6708e9b42bc2a6b0f04f90fb0e5a66e804 |
|
진단명 |
ADWARE/Adware.Gen7 (Avira) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
예약 작업(gmmgonvnts) 등록 파일 |
|
파일 경로 |
C:\GeniusMouse\geniusmousev.exe |
|
SHA-1 |
965d112dd939d4560185643fb47ed6a68dbbf10a |
|
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
|
레지스트리 등록값 |
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run - GMOUSEV = "C:\GeniusMouse\geniusmousev.exe" /run |
|
비고 |
시작 프로그램(GMOUSEV) 등록 파일 |
|
파일 경로 |
C:\GeniusMouse\geniusp.exe |
|
SHA-1 |
bf31b8730812e6b57ec5d8f9efb40b4afe4c0eeb |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
메모리 상주 프로세스 |
|
파일 경로 |
C:\Windows\gmmgonvntm.exe |
|
SHA-1 |
28b6d6739e65e035397cf51dbf62f830745d95d7 |
|
진단명 |
ADWARE/Kraddare.359336 (Avira) |
|
디지털 서명 |
Donkey CORP. |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gmmgonvntm |
|
비고 |
서비스(gmmgonvntm) 등록 파일 |
"Donkey CORP. / God of Advertising Co.,Ltd" 디지털 서명이 포함된 "GeniusMouse for Win32" 광고 프로그램은 "C:\GeniusMouse" 폴더와 Windows 폴더에 파일을 생성합니다.
- 서비스(gmmgonvntm) : "C:\Windows\gmmgonvntm.exe" /srv
- 시작 프로그램(GMOUSEV) : "C:\GeniusMouse\geniusmousev.exe" /run
- 예약 작업(gmmgonvnts) : C:\GeniusMouse\geniusmouses.exe /sch
설치된 광고 프로그램은 변종에 따라 다양한 이름으로 등록되는 서비스, 시작 프로그램, 예약 작업 영역에 자동 실행값을 등록하여 시스템 시작시 등록된 파일을 자동 실행하여 프로그램 업데이트 및 광고 구성값 정보를 체크하며, 이를 통해 광고 기능을 수행하는 geniusm.exe, geniusp.exe 파일을 메모리에 상주시킵니다.
참고로 "GeniusMouse for Win32" 광고 프로그램 설치 및 실행시에는 가상 환경 및 특정 분석 도구를 체크하여 존재시 실행되지 않도록 분석을 방해하는 기능이 포함되어 있습니다.
외형적으로는 자동 실행된 "C:\GeniusMouse\geniusmouse.exe" 파일을 통해 마우스 우클릭 방지 기능이 포함된 웹 페이지를 마우스 우클릭을 통해 해제가 가능한 유용한 프로그램이지만, 필수적으로 포함된 광고 기능을 통해 추가적인 광고 모듈(342.dll, filepds.dll)을 로딩하여 인터넷 검색 및 웹 사이트 접속 등의 행위 중 다양한 광고가 노출될 수 있습니다.
■ "GeniusMouse for Win32" 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 등록된 "GeniusMouse for Win32" 삭제 항목을 이용하여 제거할 수 있지만, 일부 환경에서는 제어판에 등록되지 않는 상태로 프로그램이 실행되고 있으므로 "C:\GeniusMouse\geniusmouse_unin.exe" 삭제 파일을 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.
만약 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거를 진행해 보시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "gmmgonvntm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.(※ 명령어 변수는 서비스 파일명에 따라 달라질 수 있습니다.)
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 geniusm.exe, geniusmouse.exe, geniusp.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\GeniusMouse
- C:\Windows\gmmgonvntm.exe
- C:\Windows\System32\Tasks\gmmgonvnts
- C:\Windows\Tasks\gmmgonvnts.job
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run- GMOUSEV = "C:\GeniusMouse\geniusmousev.exe" /run
"GeniusMouse for Win32" 광고 프로그램 이름으로는 광고 기능을 수행하는지 쉽게 확인하기 어려우며, 일부 환경에서는 제어판을 통한 프로그램 삭제가 이루어지지 않으므로 설치되지 않도록 주의하시기 바랍니다.