국내에서 제작되어진 cpc 형태의 광고를 통해 수익을 내는 (주)마이크로네임즈의 [해보고] 광고에

대하여 알아보도록 하겠습니다. 우선 해당 광고는 사용자 몰래 설치되어 특정 키워드 검색 시 해당 키워드

성격에 맞는 광고주 사이트를 팝업 창으로 띄워 광고 수익을 내는 형태의 악성코드입니다.


해당 악성파일은 카스퍼스키 제품에서 진단명 Adware.Win32.Hebogo.cq 으로 진단하고 있습니다.



악성파일 실행 시 사용자 몰래 하기의 파일들이 생성이 되며, 자가 삭제되는 형태의 악성파일입니다.





 

  생성파일 정보


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe - 업데이트 파일


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe - 메모리 상주


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall


 C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall\Uninstall.exe - 프로그램 삭제



 

  레지스트리 생성 정보


 [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

MicroProCon=C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProCon.exe -iCtjxI


 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

MicroProProc=C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\MicroProProc.exe -iCtjxI


 [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MicroNames Multi Language Convert Service3.0]



시스템 재부팅 시 자동 시작 되도록 레지스트리에 등록이 되어 있는 것을 확인 할 수 있으며,

MicroProCon.exe 파일은 재부팅 시 서버와의 통신을 통해 최신 리스트를 업데이트 하는 역할을 수행합니다.


 

 





 

  프로세스 정보


MicroProcProc.exe 파일은 프로세스에 로드되어 사용자가 특정 키워드 입력 시 관련 광고 사이트

팝업창을 띄우는 역할을 합니다.




여름 옷이란 키워드 입력 시 옷과 관련 된 사이트가 새창으로 생성되는 것을 확인 할 수 있습니다.

또 아기와 관련된 키워드를 입력하면 유아용품 사이트가 팝업 됩니다.

 


 






 

 프로그램 삭제 방법


정상적으로 설치가 되지 않을 경우 프로그램 추가/제거 항목에 없기 때문에 수동으로 삭제하여야 합니다.

하기 위치의 Uninstall.exe 를 실행시켜 제거 한 후 나머지 파일 및 레지스트리 값을 수동으로 삭제 해 주시면 됩니다.


위치 : C:\Documents and Settings\(사용자계정)\Application Data\MicroLab\MyEngin\Common\Uninstall