본문 바로가기

벌새::Analysis

검색 도우미 : Microsoft Visual C++ Story Manager

반응형

사용자 몰래 백그라운드 방식으로 다양한 검색 키워드를 이용한 인터넷 검색을 통한 광고 접근 또는 다양한 웹 사이트 접속이 이루어질 수 있는 국내에서 제작된 "Microsoft Visual C++ Story Manager" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 다수의 제휴 프로그램과 함께 설치가 이루어질 수 있으며, 기본적으로 Windows 폴더 내에 설치 파일(SHA-1 : 6880c10b6733f490f6da4bdc0098b9392eed91c9 - Kaspersky : not-a-virus:AdWare.Win32.Snojan.wi)을 다운로드한 후 특정 실행 명령어(/clean)를 통해 화면에 노출되지 않고 설치될 수 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Local\Temp\Low\igfCurSys
C:\Users\%UserName%\AppData\Local\Temp\Low\igfCurSys\info.db
C:\Users\%UserName%\AppData\Roaming\igfCurSys
C:\Users\%UserName%\AppData\Roaming\igfCurSys\atl100.dll
C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSys.dll :: BHO 등록 파일
C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSys.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSysi.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSysU.exe
C:\Users\%UserName%\AppData\Roaming\igfCurSys\msvcr100.dll
C:\Users\%UserName%\AppData\Roaming\igfCurSys\senuix.exe :: 작업 스케줄러(Microsoft Visual C++ Story Manager) 등록 파일
C:\Users\%UserName%\AppData\Roaming\igfCurSys\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\Microsoft Visual C++ Story Manager

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSys.exe
 - SHA-1 : 6ce664688bbdd91d9486b13ea2d67883dabdce4e
 - Kaspersky : not-a-virus:AdWare.Win32.Snojan.wk

 

C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSysi.exe
 - SHA-1 : 23330ca3dbb7aff2a875c250b8a363ab85a1549c
 - Kaspersky : not-a-virus:AdWare.Win32.Snojan.wj

 

C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSysU.exe
 - SHA-1 : c3891710466c7dd64e18b2a195a5070112a59f6c
 - Kaspersky : not-a-virus:AdWare.Win32.Snojan.wl

 

C:\Users\%UserName%\AppData\Roaming\igfCurSys\senuix.exe
 - SHA-1 : fc1bbd988d216c5ddd8a475c87d2f9e9e23aff9a
 - Norton : Trojan.Gen.2

 

 

"SoSo Soft" 디지털 서명이 포함된 "Microsoft Visual C++ Story Manager" 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\igfCurSys" 폴더에 파일을 생성합니다.

 

예약 작업에 등록된 "Microsoft Visual C++ Story Manager" 작업 스케줄러 값을 통해 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\igfCurSys\senuix.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 프로그램 업데이트 체크 및 광고 기능을 수행하는 igfCurSys.exe, igfCurSysi.exe 2개의 프로세스를 메모리에 상주시킵니다.

 

 

이름

 igfCurSys System Class

게시자

 SoSo Soft

유형

 브라우저 도우미 개체

CLSID

 {2CDA57F9-0118-4A21-8FA4-666D9131B16B}

폴더 / 파일

 C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSys.dll

 

"Microsoft Visual C++ Story Manager" 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저에 "igfCurSys System Class" 브라우저 도우미 개체(BHO)를 등록하여 "C:\Users\%UserName%\AppData\Roaming\igfCurSys\igfCurSys.dll" 광고 모듈(SHA-1 : 7882c8b37632ea47388a862944b56ca3aa2d304c)이 동작하도록 구성되어 있습니다.

 

위와 같이 설정된 PC 환경에서는 사용자가 Internet Explorer 웹 브라우저 사용 여부와 무관하게 백그라운드 방식으로 Internet Explorer 웹 브라우저를 이용하여 사용자 몰래 다음과 같은 접속 행위를 진행할 수 있습니다.

 

 

사용자가 입력하지 않은 특정 검색 키워드를 특정 서버를 경유하여 광고 목적으로 제작한 검색 사이트에서 검색 활동이 이루어지며 이를 통해 광고가 노출되도록 구성되어 있습니다.

 

 

또한 검색 키워드를 이용한 광고 노출 외에도 다양한 광고 코드가 포함된 웹 사이트 접속이 주기적으로 이루어질 수 있습니다.

 

 

위와 같은 일련의 웹 사이트 접속 행위는 화면 상으로는 표시되지 않으며 다수의 웹 사이트 접속으로 인하여 사용자가 이용하지 않는 Internet Explorer 웹 브라우저 탭 종료 창이 생성될 수 있습니다.

 

"Microsoft Visual C++ Story Manager" 광고 프로그램 제거 방법

 

해당 광고 프로그램은 설치된 PC 환경이 가상 환경 또는 특정 네트워크 분석 도구가 확인될 경우 프로그램 실행이 이루어지지 않거나 광고 행위가 이루어지지 않습니다.

 

 

특히 조건에 맞지 않는 PC 환경에 설치된 경우에는 "Microsoft Visual C++ Story Manager" 프로그램을 제거할 수 있도록 제어판 목록에 표시합니다.

 

 

참고로 "Microsoft Visual C++ Story Manager" 광고 프로그램이 마치 마이크로소프트(Microsoft)에서 제작한 Microsoft Visual C++ 2005, 2008, 2013, 2015, 2017 프로그램과 매우 유사하므로 혼동하지 않도록 주의하시기 바랍니다.

 

하지만 "Microsoft Visual C++ Story Manager" 광고 프로그램이 정상적으로 동작하는 PC 환경인 경우에는 삭제를 방해할 목적으로 제어판에 등록하지 않으므로 다음과 같은 방식으로 프로그램 제거를 진행하시기 바랍니다.

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 igfCurSys.exe, igfCurSysi.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) "C:\Users\%UserName%\AppData\Roaming\igfCurSys\uninstall.exe" 파일을 찾아 직접 실행하시면 "Story Manager 제거" 창이 생성되므로 제거를 진행하시면 됩니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {2CDA57F9-0118-4A21-8FA4-666D9131B16B}
HKEY_CURRENT_USER\Software\story_manager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2CDA57F9-0118-4A21-8FA4-666D9131B16B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{19F3188F-6B11-4950-819A-8D5C0921D4FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8E89BF7F-5D72-4C3C-A8B1-DA254B177006}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2CDA57F9-0118-4A21-8FA4-666D9131B16B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\igfCurSys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{AA7CC9E7-A093-4C89-992F-79F179E43D7C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft Visual C++ Story Manager

 

 

"Microsoft Visual C++ Story Manager" 광고 프로그램은 마치 마이크로소프트(Microsoft) 관련 프로그램처럼 등록되어 있으며, 설치된 환경에서 발생하는 광고 행위도 화면 상으로는 잘 표시되지 않으며 백그라운드 방식으로 다수의 웹 사이트 접속 행위로 인하여 PC 속도 저하를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형