인터넷 검색 시 11번가 검색 결과를 자동으로 생성할 수 있는 국내에서 제작된 "Windows Internet Explorer Smart Service" 광고 프로그램(SHA-1 : a9af6dccc4fe6c7498a176b66d85869a1c44e965 - Avira : ADWARE/Hebogo.ljjt)에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존의 Micronames Multi Language Convert Service, Internet Explorer Distribution Of Earnings, Windows Internet Explorer Distribution Of Earnings 이름으로 최소 7년 이상 운영되고 있는 변종입니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Roaming\DreamTong
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Common\DtsMainCon.exe
- SHA-1 : b9b41cd53cc8aa31cf6f190e731fa2f12e701d41 <패치 후>
C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Common\DtsMainProc.exe
C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Guard\DtsGuard.exe
C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Guard\DtsGuardCare.exe
|
"Micronames Corp," 디지털 서명이 포함된 "Windows Internet Explorer Smart Service" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\DreamTong" 폴더 하위에 파일을 생성합니다.
- DtsGuard 시작 프로그램 등록값 : %ApplicationDataFolder%\DreamTong\SmartService\Guard\DtsGuard.exe
- DtsMainCon 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Common\DtsMainCon.exe -KfVMakTTG
- DtsMainProc 시작 프로그램 등록값 : C:\Users\%UserName%\AppData\Roaming\DreamTong\SmartService\Common\DtsMainProc.exe -KfVMakTTG
Windows 시작 시 DtsGuard, DtsMainCon, DtsMainProc 3종의 시작 프로그램 등록값을 통해 각 파일을 자동 실행하도록 구성되어 있습니다.
실행된 파일은 프로그램 버전 체크를 통해 파일 패치가 이루어질 수 있으며, 광고 구성값 정보 체크를 통해 최종적으로 광고 기능을 수행하는 DtsMainProc.exe 파일을 메모리에 상주하도록 구성되어 있습니다.
설치된 "Windows Internet Explorer Smart Service" 광고 프로그램은 인터넷 검색 시 검색 키워드 값을 참조하여 11번가 검색 결과를 자동으로 생성하는 행위를 확인할 수 있습니다.
■ "Windows Internet Explorer Smart Service" 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 DtsMainProc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Internet Explorer Smart Service" 프로그램을 찾아 제거하시기 바랍니다.
프로그램 제거 진행 시 전체 화면 형태로 "Windows Internet Explorer Smart Service 4.0" 버전에 대한 삭제 안내창을 표시하며, 제거 절차가 완료된 후에는 "C:\Users\%UserName%\AppData\Roaming\DreamTong" 폴더를 찾아 삭제하시기 바랍니다.
만약 프로그램에서 제공하는 삭제 기능을 이용하여 제거가 이루어지지 않는 경우에는 ① 프로세스 종료 ② 폴더 삭제 ③ 레지스트리 삭제 방식으로 수동 제거를 하시거나 Malware Zero Kit (MZK) 도구를 이용하여 해결하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\DreamTong
|
"Windows Internet Explorer Smart Service" 광고 프로그램은 지속적으로 파일 패치를 통해 백신 진단을 회피하는 경향이 있는 것으로 보이며, 설치된 경우 인터넷 검색 시 불편을 유발하므로 주의하시기 바랍니다.
☞ 검색 도우미 : 외국어 자동 번역 검색 서비스(Micronames Multi Language Convert Service) (2010.8.14)
☞ 검색 도우미 : Micronames Multi Language Convert Service 2.00 (2011.12.9)
☞ 불법 도박 광고창이 생성되는 "Micronames Multi Language Convert Service" 주의 (2012.3.9)
☞ 검색 도우미 : MicroNames Multi Language Convert Service 3.0 + Windows multi Convert Retain (2012.9.16)
☞ 검색 도우미 : Internet Explorer Distribution Of Earnings 4.0 (2014.3.18)
☞ 삭제를 방해하는 "Internet Explorer Distribution Of Earnings - ProVersion + Retain" 광고 프로그램 정보 (2014.5.21)
☞ "Win-PUP/MicroLab" 진단을 통한 치료 불가 이슈 해결 방법 (2015.6.9)
☞ 제어판에 등록되지 않는 "Windows Internet Explorer Distribution Of Earnings" 광고 프로그램 주의 (2016.5.26)