최근 외국어 자동 번역 프로그램으로 표시되는 국내에서 제작된 "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램(SHA-1 : dfe0920b8a16c6f5bf950714e2d27d3c6aa12ed9 - ESET : a variant of Win32/Adware.Hebogo)이 여전히 설치 시 제어판을 통한 삭제 기능을 제공하지 않는 방식으로 배포되는 것을 확인하였습니다.
해당 광고 프로그램의 기존 이름은 "Internet Explorer Distribution Of Earnings"이며, 이번에 확인된 프로그램은 폴더명을 "WinCtrView → WinCtrViewer"으로 변경한 점이 특징입니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer
|
|
생성 파일 진단 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\Uninstall\Uninstaller.exe
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrCon.exe
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrProc.exe
|
최초 "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램 설치가 진행되면 "C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrCon.exe" 파일을 생성 및 실행하여 다음과 같은 추가적인 다운로드가 진행됩니다.
- h**p://220.**.162.2/Download/WinCtrProc.exe
- h**p://220.**.162.4/Download/Uninstall_Ctr.exe
다운로드된 WinCtrProc.exe 파일은 실행되어 프로그램 삭제 기능을 제공하는 Uninstall_Ctr.exe 파일을 추가 다운로드하여 "C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\Uninstall\Uninstaller.exe" 파일로 생성합니다.
이후 12분 이상의 시간이 경과할 경우 추가적인 프로그램 구성을 체크하여 다음과 같은 파일 다운로드를 통한 추가적인 설치가 진행됩니다.
- h**p://220.**.162.4/Download/RetainPt.exe
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain
|
|
생성 파일 진단 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\RetainPt.exe
|
이렇게 등록된 RetainPt.exe 파일은 Windows 시작 시 RetainGard 시작 프로그램 등록값을 통해 자동 실행되어 다음과 같은 추가적인 파일 다운로드 및 추가 설치가 진행됩니다.
- h**p://220.**.162.3/Download/RetainComp.exe
- h**p://220.**.162.3/Download/Uninstall_Ctr.exe
|
생성 파일 등록 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\RetainComp.exe
|
|
생성 파일 진단 정보 |
|
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\RetainComp.exe
C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\Uninstall\Uninstaller.exe
|
위와 같은 일련의 설치 과정을 통해 최종적으로 완료된 "MicroNames Co.,Ltd" 디지털 서명이 포함된 "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램은 Windows 시작 시 다음과 같은 3종의 시작 프로그램 등록값을 통해 자동 실행되어 프로그램 업데이트 및 광고 구성값 정보를 체크한 후 최종적으로 광고 기능을 수행하는 WinCtrProc.exe 파일을 메모리에 상주시킵니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- RetainGard = C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\RetainPt.exe -rLBsGQz
- WinCtrCon = C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrCon.exe -rLBsGQz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WinCtrProc = C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrProc.exe -rLBsGQz
이를 통해 대표적인 광고 행위로 인터넷 검색 시 자동으로 검색 키워드 값을 참조한 특정 인터넷 쇼핑몰 결과를 노출시킬 수 있습니다.
■ "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램 삭제 방법
"Windows Internet Explorer Distribution Of Earnings" 광고 프로그램이 설치된 환경에서는 제어판에 프로그램을 등록하지 않는 방식으로 사용자가 프로그램을 찾아 삭제할 수 없도록 제작되어 있으므로 다음의 절차에 따라 제거하시기 바랍니다.
(a) 작업 관리자를 실행하여 메모리에 상주하는 WinCtrProc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램의 삭제 기능을 제공하는 동일한 삭제 파일(Uninstaller.exe)이 2개가 존재하므로 하나를 선택하여 직접 실행하시기 바랍니다.
- C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\Uninstall\Uninstaller.exe
- C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\Retain\Uninstall\Uninstaller.exe
삭제 파일을 실행하면 외국어 자동번역 프로그램 삭제 메시지가 표시되며, 프로그램 삭제가 완료된 후에는 반드시 "C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer" 폴더를 추가적으로 삭제하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - WinCtrCon = C:\Users\(로그인 계정명)\AppData\Roaming\WinCtrViewer\Engin\ProVersion\WinCtrCon.exe -rLBsGQz HKEY_CURRENT_USER\Software\WinCtrView
|
"Windows Internet Explorer Distribution Of Earnings" 광고 프로그램은 상당 기간 동안 다양한 변종 광고 프로그램을 지속적으로 배포하면서 사용자가 프로그램 제거를 하지 못하도록 제어판에 표시하지 않는 방식을 이용하고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.
☞ 검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14)
☞ 검색 도우미 : Micronames Multi Language Convert Service 2.00 (2011.12.9)
☞ 불법 도박 광고창이 생성되는 "Micronames Multi Language Convert Service" 주의 (2012.3.9)
☞ 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain (2012.9.16)
☞ 검색 도우미 : Internet Explorer Distribution Of Earnings 4.0 (2014.3.18)