본문 바로가기

벌새::Analysis

컴퓨터 속도에 영향을 주는 "Visual Runtime 11.0.0" 프로그램의 정체는?

반응형

블로그 공지를 통해 악성코드, 광고 프로그램으로 고생할 경우 문의를 할 수 있도록 안내를 하고 있는데, 최근 PC를 사용하다가 원인을 알 수 없는 이유로 컴퓨터의 전체적인 속도가 느려져서 어떤 프로그램의 영향인지 확인을 해달라는 문의가 와서 로그를 확인하여 문제를 유발하는 "Visual Runtime 11.0.0" 프로그램을 찾게 되었습니다.

 

"Visual Runtime 11.0.0" 프로그램 등록 정보

설치된 프로그램 목록에서는 "Visual Runtime 11.0.0" 이름으로 등록되어 있으며, 게시자는 Mcorp라고 표시되어 있습니다.

 

공개된 정보로는 마이크로소프트(Microsoft)에서 제공하는 정상적인 프로그램처럼 되어 있지만, 실제 파일을 확인해보면 국내에서 제작된 광고 프로그램 계열임을 알 수 있었습니다.

 

Visual Runtime 11.0.0.exe 프로세스 실행

"Visual Runtime 11.0.0" 프로그램은 "C:\Users\%UserName%\AppData\Roaming\Visual Runtime 11.0.0" 폴더를 생성하여 내부에 파일을 추가하며, 확인되지 않은 자동 실행 등록값을 통해 Windows 시작 시마다 자동 실행되어 프로세스에서는 Visual Runtime 11.0.0.exe 파일(SHA-1 : e5a9e7738b6c353cb01319a846c4bbf1128933be)이 메모리에 상주할 것으로 보입니다.

 

Visual Runtime 11.0.0.exe 파일의 디지털 서명 정보

실행된 Visual Runtime 11.0.0.exe 파일에 포함된 디지털 서명에서는 "Mcorporation Co.,Ltd" 이름으로 2019년 11월 18일에 등록되어 있는 것을 알 수 있습니다.

 

Visual Runtime 11.0.0.exe 파일 속성 정보

Visual Runtime 11.0.0.exe 파일 속성 정보를 확인해보면 마치 Microsoft Visual C++ 관련된 정상적인 파일처럼 정보가 표시되고 있습니다.

 

Visual Runtime 11.0.0.exe 파일 오류 정보 (이벤트 로그)

그런데 설치된 Visual Runtime 11.0.0 프로그램이 실행 과정에서 알 수 없는 문제로 Visual Runtime 11.0.0.exe 파일의 오류가 발생하여 이벤트 로그를 확인해보면 다수의 오류 기록이 남아있음을 알 수 있습니다.

 

Visual Runtime 11.0.0.exe 파일 기능 (1)

Visual Runtime 11.0.0.exe 파일이 어떤 기능을 수행하는지 코드를 확인해보면 지마켓과 같은 특정 인터넷 쇼핑몰의 바로 가기 아이콘을 추가할 수 있습니다.

 

Visual Runtime 11.0.0.exe 파일 기능 (2)

또한 특정 광고 서버와의 통신을 통해 쿠팡, CJ몰 등의 인터넷 쇼핑몰과 관련된 코드를 사용하는 것을 확인할 수 있었습니다.

 

문의를 주신 분의 경우 제어판에서 "Visual Runtime 11.0.0" 프로그램을 찾아 제거를 한 후 컴퓨터 속도가 정상적으로 돌아왔다고 한 점을 고려한다면 해당 광고 프로그램의 알 수 없는 오류로 인하여 시스템 속도에 영향을 줄 수 있을 것으로 보입니다.

 

예전부터 국내 광고 프로그램 중 마이크로소프트(Microsoft) 관련 프로그램처럼 이름을 매우 유사하게 등록되어 사용자의 눈을 속이는 경우가 있었는데, 이번에 확인한 "Visual Runtime 11.0.0" 프로그램 역시 동일한 광고 프로그램이므로 원치않게 설치되어 있다면 제거하시기 바랍니다.

728x90
반응형
  • 샘플 구해서 한번 돌려보고 신고 해야겠습니다.

  • 혈압 2020.03.08 23:44 댓글주소 수정/삭제 댓글쓰기

    저도 방금 발견하고 혈압 급상승 했네요.
    떡하니 오늘 바탕화면에 쿠팡 바로가기가 있더라고요.
    해당악성코드는 설치된지 벌써 1달이상된거같고
    쿠팡파트너스 해당 아이디(AF92****8) 신고했습니다.
    기타 코드 찾아서 신고하면, 부당이득으로 수입 몰수하거나 법적대응 할 수 있지 않을까 하네요.

  • 수고하셨습니다 2020.03.12 09:34 댓글주소 수정/삭제 댓글쓰기

    와 ㅋㅋㅋ저도 최근에 프로그램추가설치 보고나서 이게뭐지? 싶어서 검색했는데
    바로 쓰잘데기없는 프로그램이었군요? 이 쥐새끼처럼 숨어있었네요ㅋㅋㅋ
    한달도안된 최신글이라 하마터면 그냥 상주하게 냅둘뻔했네요
    감사합니다!!! 이렇게 포스팅해주셔서 ^^

  • 궁금 2020.03.12 17:27 댓글주소 수정/삭제 댓글쓰기

    어떻게 설치하게 됐는지는 알 수 없었나요?

    • 넵~ 해당 PC의 경우 그 외 이상한 프로그램은 발견되지 않았던 것으로 보아 정상 프로그램 설치 중에 제휴 프로그램으로 추가된게 아닌가 생각됩니다.

  • 철이 2020.03.24 23:02 댓글주소 수정/삭제 댓글쓰기

    작년 12월에 isp 프로그램 설치시 같이 설치되길래 의문이 들어 제작사에 문의 했더니 아래와 같은 답변을 받았었네요.
    설치되는 이름 그리고 홈페이지 등 너무 수상했는데..

    --
    의주신 내용을 확인한 결과 ISP 프로그램 관련 문의로 추측됩니다.

    해당 파일의 경우 추후 제공될 스마트탭 서비스 관련 파일로

    해당 프로그램을 통해 ISP 결제 완료 시 인증 성공 알림과 함께 BC카드 TOP포인트 추가 적립 가맹점 정보를 안내드리는 목적의 광고 채널로 활용될 예정입니다.
    현재 스마트탭서비스는 즐겨찾기와 설치형(쇼핑도우미) 두가지형태로 제공중이며,

    고객님께서 문의하신 쇼핑도우미(Visual Runtime)의 경우 현재 기능 비활성화 상태입니다.

    고객님께서 추가로 문의하신 현재버전의 Virus Total 검사결과는 애드웨어가 지닌 특정 코드와 Visual Runtime의 코드가 일부 유사성이 있어 오탐되는 항목으로

    유해 파일이 아니니 안심하시고 이용하셔도됩니다.

    해당 버전에 대한 백신업체 내 화이트리스트 등록 요청작업이 완료되었으며

    추후 업데이트 예정인 1.5.0 버전 (기존 1.4.0버전)에서는 첨부파일 내용과 같이 Virus Total 에 검침내역이 나오지 않음을 확인 할 수 잇습니다.

    감사합니다.
    ----

    안랩에도 신고했었는데 그때는 정상으로 판단하더니 지금은 pup로 등록 되어 있네요. ㅋ PUP/Win32.Mcorp.R329628
    https://www.ahnlab.com/kr/site/securityinfo/asec/asecCodeList.do

    • 스마트탭이라는 광고 프로그램이 오래 전에 있었습니다.

      https://hummingbird.tistory.com/5400

      ISP 프로그램으로 설치된다는 매우 특이하네요. 혹시 ISP 프로그램을 어디서 받을 수 있는지 알 수 있을까요?

      그리고 내용을 봐서는 1.5.0 버전 업데이트를 하면 당연히 VT에서 탐지 안하겠죠.

  • 철이 2020.03.25 10:58 댓글주소 수정/삭제 댓글쓰기

    제 기억으로는 쿠팡인가 티몬인가 결제시 설치를 요구했던 것 같습니다.
    일단 쿠팡에서 isp 결제를 선택하면 프로그램 설치를 요구하네요. 다시 받아서 네이버 메일로 보내놓겠습니다.

  • 철이 2020.03.25 11:08 댓글주소 수정/삭제 댓글쓰기

    벌새님 네이버 메일로 보낸 파일이 아마도 맞는것 같습니다. 예전에 문의할 때 넣은 파일 버전이름이 지금 받아지는 파일과 동일하네요.

    ---
    안녕하세요. isp 사용중 궁금사항이 있습니다.

    VPISPPlusSetup_V2107.exe

    이 파일을 설치시 Visual Runtime 11.0.0.exe Visual Runtime.exe 이것들이 설치되는데 역할이 뭔지 궁금합니다. isp 프로그램 미사용시에도 동작하는 것 같아서요.

    Visual Runtime.exe은 일부 백신에서 진단도 하고 있어서 궁금합니다. 유해 파일인지..아래 바이러스 토탈 링크입니다.

    https://www.virustotal.com/gui/file/ba950e29a52a44010eea973215f540be7c32eb568dde0c3333cc12c855e4faf9/detection
    ---

  • 정보 감사드립니다. 저는 교보문고 결제할때 BC카드 ISP 결제를 했는데 ISP 관련 설치를 요구하더군요. 그래서 깔았는데 저도 위 프로그램 깔린것 같습니다. 이제 ISP 결제 사용하면 안될것 같군요;

  • 철이 2020.03.26 16:19 댓글주소 수정/삭제 댓글쓰기

    그렇군요 저도 설치를 해봤는데 예전에는 제어판에 visual runtime 어쩌고 설치되던게 있었는데 지금은 없네요.
    저것들 은근슬쩍 유포하다 수정 했나보네요 뭐지 ㅡ,ㅡ;

  • 나그네 2020.04.05 00:17 댓글주소 수정/삭제 댓글쓰기

    저도 오늘 KB카드 ISP 결제 하고서 이게 깔렸네요. ISP가 이런 물건인거면 안드로이드에 깔리는 ISP앱도 온전하다고는 보장 못할 것 같은데 말이죠.

  • snorlax 2020.04.06 12:49 댓글주소 수정/삭제 댓글쓰기

    저같은 경우는 작업관리자에서 시작프로그램 목록을 살펴보다가 있는걸 발견했네요
    런타임 관련해서는 시작프로그램에서 본 적이 한번도 없고 게시자가 M corp라길래 너무 수상해서 덕분에 찾아보고 바로 삭제했습니다.

    해당 프로그램 기능은 ISP 결제 이후 뜨는 "결제가 완료되었습니다" 창에 바로가기 추가와 '쇼핑도우미' 기능을 ON/OFF 하는 기능이 있던데 이거랑 관련된게 아닐까요?

  • 4na2no1 2020.04.06 13:04 댓글주소 수정/삭제 댓글쓰기

    벌새님, 항상 유익한 정보 잘 보고있습니다.
    아마도 아래 URL을 통해 유포하고 있는 것으로 추정됩니다.
    hxxp://www.vpay.co.kr/pds/setup.msi

  • cubemaster 2020.04.09 12:54 댓글주소 수정/삭제 댓글쓰기

    삭제를 해도 보안 프로그램 등을 통해서 처리를 해도 계속 생성되는 것을 보니, 어딘가에 취약점이 있거나 의도적으로 계속 악성 프로그램을 유포하는 곳이 있는 것 같네요. 저 또한 카카오뱅크 카드 ISP 결제를 한 적이 있습니다.

  • ntkrnlmp 2020.10.14 21:17 댓글주소 수정/삭제 댓글쓰기

    이제 "Smart Service"라는 이름으로 바뀌었나봅니다 (Mcorporation으로 디지털 서명되어있음 ...)