인터넷 검색 및 웹 사이트 접속 시 다양한 광고창 생성 및 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 TargetService 광고 프로그램(SHA-1 : 2599c29ebe0e01e65c9407371e0d21e133c91edf - Hauri ViRobot : Adware.Kraddare.352136[h])의 변종 정보가 수집되어 살펴보도록 하겠습니다.
TargetService 광고 프로그램은 변종에 따라서는 "C:\Program Files\WindowTargetService" 폴더에 파일을 생성할 수 있으며, 가상 환경 및 특정 분석 환경에서는 설치 및 동작이 이루어지지 않도록 제작되어 있습니다.
|
파일 경로 |
C:\Program Files\TargetService\targetservice.exe |
|
SHA-1 |
f0a01049a5bb292bdd03d6c7b05ecce31e1f88c2 |
|
진단명 |
Generic.4C0 (AVG) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run |
|
비고 |
시작 프로그램(TGSERV) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\Program Files\TargetService\targetservice_unin.exe |
|
SHA-1 |
cb27f39b84ab3602d66fa4f98ee9f45fb7c3bda5 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
INSAFE |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\Program Files\TargetService\targetservices.exe |
|
SHA-1 |
9f937280a013dd0e1d597ec900cb6053a2ed650c |
|
진단명 |
a variant of Win32/AdWare.Kraddare.IL (ESET) |
|
디지털 서명 |
INSAFE |
|
비고 |
예약 작업(tsstonvnts) 등록 파일 |
|
파일 경로 |
C:\Windows\tsstonvntm.exe |
|
SHA-1 |
c47c53d70d7e66a7461731d31b34be5603f5a2c2 |
|
진단명 |
PUP/Win32.IntClient.R107148 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tsstonvntm |
|
비고 |
서비스(tsstonvntm) 등록 파일 |
|
파일 경로 |
C:\Windows\System32\drivers\targetservice.sys |
|
SHA-1 |
5e40eb3689434e2c3252243f751edfd8f9b15263 |
|
진단명 |
Win32:Adware-gen [Adw] (avast!) |
|
디지털 서명 |
INSAFE |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\targetservice |
|
비고 |
드라이버(targetservice) 등록 파일 |
INSAFE 디지털 서명이 포함된 TargetService 광고 프로그램은 "C:\Program Files\TargetService" 폴더와 Windows 폴더 내에 파일을 생성하며, 다음과 같은 자동 실행값을 통해 시스템 부팅 시 자동 실행되도록 구성되어 있습니다.
- 서비스(tsstonvntm) : "C:\Windows\tsstonvntm.exe" /srv
- 시작 프로그램(TGSERV) : "C:\Program Files\TargetService\targetservice.exe" /run
- 예약 작업(tsstonvnts) : C:\Program Files\TargetService\targetservices.exe /sch
자동 실행된 파일들은 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 광고 기능을 수행하는 targetservice.exe 파일을 메모리에 상주시킵니다.
이를 통해 사용자가 웹 브라우저를 이용한 웹사이트 접속 및 인터넷 검색 시 다양한 광고창을 생성할 수 있으며, 가상 환경 및 특정 분석 도구가 확인될 경우에는 설치된 상태에서도 동작하지 않을 수 있습니다.
■ TargetService 광고 프로그램 삭제 방법
기본적으로 해당 광고 프로그램은 제어판에 표시된 TargetService 삭제 항목을 이용하여 제거할 수 있으며, 만약 제어판에 표시되지 않은 경우에는 "C:\Program Files\TargetService\targetservice_unin.exe" 파일을 찾아 직접 실행하여 프로그램 제거를 진행할 수 있습니다.
만약 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하여 제거를 진행하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음의 명령어를 입력하여 등록된 서비스 및 드라이버 레지스트리 값을 자동 삭제하시기 바랍니다.(※ tsstonvntm 값은 서비스 등록 파일명에 따라 변경될 수 있습니다.)
- sc delete "tsstonvntm"
- sc delete "targetservice"
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 targetservice.exe 프로세스를 찾아 종료하시기 바랍니다.
(c) 실행 중인 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\TargetService
- C:\Windows\System32\drivers\targetservice.sys
- C:\Windows\System32\Tasks\tsstonvnts
- C:\Windows\Tasks\tsstonvnts.job
- C:\Windows\tsstonvntm.exe
(d) 레지스트리 편집기(regedit)를 실행하여 시작 프로그램 영역에 등록된 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run- TGSERV = "C:\Program Files\TargetService\targetservice.exe" /run
TargetService 광고 프로그램 이름으로는 광고 기능을 수행하는지 판단하기 매우 어려우며, 원치않는 광고창 또는 추가적인 제휴 프로그램 설치를 유도할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.