[사이버포스]에서 서비스하는 악성코드 치료 프로그램 [AD-Aware] 제품에 대해 살펴보겠습니다.
이 프로그램을 서비스하는 업체는 이 외에도 [무비큐]라는 온라인 영화 사이트를 운영하고 있는 것을 확인하였습니다.
1. 설치 과정 살펴보기
해당 제품은 설치 과정에서 어떤 제품에 대한 정보 및 이용약관을 제공하지 않고 있습니다. 프로그램 설치가 완료되면 자동으로 실행되는 프로그램이 아닙니다.
초기 프로그램이 설치되고 프로그램을 작동하기 전의 설치된 파일 정보입니다. 이제 프로그램을 작동하여 보겠습니다.
프로그램이 작동하면서 자동으로 업데이트가 이루어지고 있는 모습입니다. 업데이트 후에 새로 생성된 파일 정보는 다음과 같습니다.
변경된 부분은 Program Files\AD-Aware 폴더에 있던 프로그램 삭제 관련 파일(AD-Aware_uninstall.exe)이 제거가 되었습니다.
삭제 지원 파일은 윈도우 시스템 폴더 속에 들어간 것을 확인하실 수 있습니다.(해당 삭제 파일 AD-Aware_uninstall.exe 는 프로그램 삭제 후에도 남아 있으므로 수동 삭제가 요구됩니다.)
2. 주요 기능 살펴보기
프로그램 메인 화면입니다. 스킨과 그래픽에 신경을 쓴 프로그램이라는 느낌이 듭니다.
프로그램 좌측 하단에 프로그램 버전이 [VER 1.01]로 표시되어 있습니다.
해당 프로그램의 서비스는 2006년 6월경으로 추정되는데 상당히 프로그램 업데이트 없었던 것으로 추정됩니다. 특히 DB 관련 업데이트 정보는 프로그램 상에서 확인할 방법이 없고, 홈페이지를 통해 확인할 수 있습니다.
홈페이지에서 제공하는 정보에 의하면 DB 업데이트는 2006년 8월 이후에는 기록조차 되어 있지 않습니다.
[컴퓨터 정리] 기능은 무료로 PC 최적화를 지원합니다.
[메모리 정리] 기능은 컴퓨터 메모리를 최적화하는 기능입니다.
[PC 타이머] 기능은 컴퓨터에서 정한 특별한 시간에 자동 종료를 할 수 있도록 도와주는 기능입니다.
[치료복구] 기능은 악성코드 검사를 통해 치료한 항목에 대한 검역소 기능을 하고 있습니다.
그 외 [검사현황]은 지금까지 검사한 내용에 대한 로그를 기록하는 기능입니다.
3. 악성코드 검사 기능 살펴보기
악성코드 검사에서는 악성코드&스파이웨어(유료 치료) / 키로거&웜(유료 치료) / 트래킹 코드&불필요한 레지스트리 정리(무료) 항목을 검사합니다.
해당 악성코드를 치료하기 위해 [치료하기] 버튼을 누르면 결제화면이 생성됩니다. 만약 Ctrl키를 누르면 그림과 같이 경고 메시지가 나오는 것을 확인하실 수 있습니다.
결제 관련하여 3개월간의 의무사용 기간이 있는 것을 확인하실 수 있습니다.
결제 관련 [약관보기]를 클릭하면 다음과 같은 창이 추가로 생성됩니다.
결제를 담당하는 (주)모빌리언스의 이용약관인데 문제가 있습니다.
결제 사이트에서 제공하는 이용약관 제시 방법조차 마치 불량한 업체처럼 제공하는 등 매우 문제가 많습니다.
프로그램에서 진단한 악성코드를 치료하지 않고 프로그램을 닫은 상태에서 프로그램이 시스템 트레이에 상주하고 있는 경우 다음과 같은 경고 팝업창을 띄워 줍니다.
4. AD-AwareMain.exe 프로세서의 정체
기본적으로 해당 프로그램은 설치 폴더에 있는 AD-Aware.exe 파일로 작동합니다. 그러면 설치 폴더에 존재하는 AD-AwareMain.exe 파일은 무슨 기능을 하는지 살펴보겠습니다.
해당 프로그램을 시스템 트레이에서도 완전히 닫고 테스트를 해 보겠습니다.
프로그램이 완전히 끝났는데 AD-AwareMain.exe 프로세서가 여전히 상주하는 것을 확인할 수 있습니다.
일정 시간이 지나자 갑자기 시스템 트레이 상단에 다음과 같은 팝업창이 생성됩니다.
프로세서의 기능을 보시면 아시겠지만 AD-AwareMain.exe 프로세서가 일정 시간이 지나면 자동으로 POPAD-Aware.exe 프로세서를 활동시키는 것을 보실 수 있습니다.
생성된 팝업창에서 [취소]를 클릭하면 다음과 같은 프로세서가 작동합니다.
AD-AwareMain.exe 프로세서는 계속 상주하면서 팝업 관련 프로세서는 내려가고 제품이 작동할 때 사용되는 AD-Aware.exe 프로세서가 활동하면서 자동으로 프로그램이 다시 켜지는 현상을 확인할 수 있습니다.
즉 AD-AwareMain.exe 프로세서는 항상 프로그램이 시스템 트레이에 상주할 수 있도록 도와주는 기능을 하고 있으며, 사용자가 프로그램을 닫고 완전히 비활성화를 하여도 다시 살리는 불편함을 제공합니다.
5. 프로그램 삭제하기
프로그램을 삭제하시면 설치 폴더는 깨끗하게 사라지지만 윈도우 시스템 폴더 속에 있는 삭제 관련 파일 AD-Aware_uninstall.exe는 수동으로 삭제하셔야 합니다.
실제 프로그램 삭제 후 윈도우 시작시 등록된 AD-AwareMain.exe 관련 레지 정보가 잘 처리되었는지 알아보겠습니다.
스크린샷과 같이 파일을 찾을 수 없다는 메시지를 남긴체 여전히 레지 정보에 등록되어 있습니다. 만약 저 상태로 윈도우 재부팅이 이루어진다면 윈도우에 진입하면서 특정 항목을 찾을 수 없다는 에러 메시지를 남길 것으로 보입니다.
해당 제품은 해외 유명 제품의 이름과 똑같이 만들고 웹사이트 도메인 역시 파트너 업체인 것처럼 사용자를 현혹하는 제품으로 보입니다. 또한 제품의 프로세서 기능도 상당히 불편함을 야기할 것으로 보입니다.
이상으로 AD-Aware 제품에 대해 살펴보았습니다.
프로그램 이름을 보시면 모두들 해외 유명 보안업체 Lavasoft사(http://www.lavasoft.com/)의 Ad-Aware 제품을 연상하시고 동일 제품 혹은 파트너 업체로 오해할 수 있습니다.
제가 아는 선에서는 지금 소개하는 해당 제품과는 아무런 관계가 없는 소위 이름을 도용한 제품이라고 볼 수 있습니다.
제가 아는 선에서는 지금 소개하는 해당 제품과는 아무런 관계가 없는 소위 이름을 도용한 제품이라고 볼 수 있습니다.
이 프로그램을 서비스하는 업체는 이 외에도 [무비큐]라는 온라인 영화 사이트를 운영하고 있는 것을 확인하였습니다.
AD-Aware 홈페이지 : http://www.ad-aware.co.kr/frame.htm
<테스트 환경>
OS : Windows XP Home SP2
작동 프로그램 : Sandboxie 3.22
* 테스트 시행자는 보안전문가가 아니므로 해당글에 오류가 있을 수 있음을 밝힙니다.
* 테스트시 보안제품을 OFF한 상태에서 테스트 하였으므로 해당 테스트 제품이 허위 악성코드 치료 프로그램일 수 있습니다.
OS : Windows XP Home SP2
작동 프로그램 : Sandboxie 3.22
* 테스트 시행자는 보안전문가가 아니므로 해당글에 오류가 있을 수 있음을 밝힙니다.
* 테스트시 보안제품을 OFF한 상태에서 테스트 하였으므로 해당 테스트 제품이 허위 악성코드 치료 프로그램일 수 있습니다.
1. 설치 과정 살펴보기
해당 제품은 설치 과정에서 어떤 제품에 대한 정보 및 이용약관을 제공하지 않고 있습니다. 프로그램 설치가 완료되면 자동으로 실행되는 프로그램이 아닙니다.
초기 프로그램이 설치되고 프로그램을 작동하기 전의 설치된 파일 정보입니다. 이제 프로그램을 작동하여 보겠습니다.
프로그램이 작동하면서 자동으로 업데이트가 이루어지고 있는 모습입니다. 업데이트 후에 새로 생성된 파일 정보는 다음과 같습니다.
변경된 부분은 Program Files\AD-Aware 폴더에 있던 프로그램 삭제 관련 파일(AD-Aware_uninstall.exe)이 제거가 되었습니다.
삭제 지원 파일은 윈도우 시스템 폴더 속에 들어간 것을 확인하실 수 있습니다.(해당 삭제 파일 AD-Aware_uninstall.exe 는 프로그램 삭제 후에도 남아 있으므로 수동 삭제가 요구됩니다.)
2. 주요 기능 살펴보기
프로그램 메인 화면입니다. 스킨과 그래픽에 신경을 쓴 프로그램이라는 느낌이 듭니다.
프로그램 좌측 하단에 프로그램 버전이 [VER 1.01]로 표시되어 있습니다.
해당 프로그램의 서비스는 2006년 6월경으로 추정되는데 상당히 프로그램 업데이트 없었던 것으로 추정됩니다. 특히 DB 관련 업데이트 정보는 프로그램 상에서 확인할 방법이 없고, 홈페이지를 통해 확인할 수 있습니다.
홈페이지에서 제공하는 정보에 의하면 DB 업데이트는 2006년 8월 이후에는 기록조차 되어 있지 않습니다.
[프로그램 옵션 - 자동 실행의 문제점]
[환경설정]에 들어가서 초기값을 보면 기본설정에 [윈도우 시작시 프로그램 자동 실행] 항목이 체크되어 있지 않습니다.
실제 이 설정값에서 윈도우 시작시 해당 프로그램은 작동하지 않아야 합니다.
하지만 레지스트리 정보에 의하면 AD-Aware 정보가 윈도우 시작 항목에 등록이 되어 있는 것을 확인할 수 있었습니다. 즉 환경 설정과는 상관없이 강제적으로 윈도우 시작과 함께 프로그램이 작동하게 만들어져 있습니다.
[환경설정]에 들어가서 초기값을 보면 기본설정에 [윈도우 시작시 프로그램 자동 실행] 항목이 체크되어 있지 않습니다.
실제 이 설정값에서 윈도우 시작시 해당 프로그램은 작동하지 않아야 합니다.
하지만 레지스트리 정보에 의하면 AD-Aware 정보가 윈도우 시작 항목에 등록이 되어 있는 것을 확인할 수 있었습니다. 즉 환경 설정과는 상관없이 강제적으로 윈도우 시작과 함께 프로그램이 작동하게 만들어져 있습니다.
[컴퓨터 정리] 기능은 무료로 PC 최적화를 지원합니다.
[메모리 정리] 기능은 컴퓨터 메모리를 최적화하는 기능입니다.
[PC 타이머] 기능은 컴퓨터에서 정한 특별한 시간에 자동 종료를 할 수 있도록 도와주는 기능입니다.
[치료복구] 기능은 악성코드 검사를 통해 치료한 항목에 대한 검역소 기능을 하고 있습니다.
그 외 [검사현황]은 지금까지 검사한 내용에 대한 로그를 기록하는 기능입니다.
3. 악성코드 검사 기능 살펴보기
악성코드 검사에서는 악성코드&스파이웨어(유료 치료) / 키로거&웜(유료 치료) / 트래킹 코드&불필요한 레지스트리 정리(무료) 항목을 검사합니다.
Adware.CWS.Oslogo - 오진
- HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap/Domains/msn.com
해당 진단은 [바이러스 클리닉(http://hummingbird.tistory.com/162)] 제품에서도 나온 레지스트리 진단은 윈도우의 기본적인 msn 관련 레지스트리 정보입니다.
CWS.Googlems - 오진
- HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/ActiveX Compatibility/{17DA0C9E-4A27-4AC5-BB75-5D24B8CDB972}
해당 ActiveX 차단값을 근거로 확인한 결과 Kaspersky 기준 Trojan-Downloader.Win32.IstBar.ay 관련 악성코드입니다. 하지만 해당 레지스트리는 악성코드가 감염되어야지 생성되는 레지스트리는 아닙니다.
또한 http://www.viruslist.com/en/viruses/encyclopedia?virusid=39471 자료에 보시면 해당 레지스트리의 위치가 다릅니다. 즉 단순히 {17DA0C9E-4A27-4AC5-BB75-5D24B8CDB972}
값만으로 비교하여 진단한 것으로 추정됩니다.
- HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/ZoneMap/Domains/msn.com
해당 진단은 [바이러스 클리닉(http://hummingbird.tistory.com/162)] 제품에서도 나온 레지스트리 진단은 윈도우의 기본적인 msn 관련 레지스트리 정보입니다.
CWS.Googlems - 오진
- HKEY_LOCAL_MACHINE/Software/Microsoft/Internet Explorer/ActiveX Compatibility/{17DA0C9E-4A27-4AC5-BB75-5D24B8CDB972}
해당 ActiveX 차단값을 근거로 확인한 결과 Kaspersky 기준 Trojan-Downloader.Win32.IstBar.ay 관련 악성코드입니다. 하지만 해당 레지스트리는 악성코드가 감염되어야지 생성되는 레지스트리는 아닙니다.
또한 http://www.viruslist.com/en/viruses/encyclopedia?virusid=39471 자료에 보시면 해당 레지스트리의 위치가 다릅니다. 즉 단순히 {17DA0C9E-4A27-4AC5-BB75-5D24B8CDB972}
값만으로 비교하여 진단한 것으로 추정됩니다.
해당 악성코드를 치료하기 위해 [치료하기] 버튼을 누르면 결제화면이 생성됩니다. 만약 Ctrl키를 누르면 그림과 같이 경고 메시지가 나오는 것을 확인하실 수 있습니다.
결제 관련하여 3개월간의 의무사용 기간이 있는 것을 확인하실 수 있습니다.
결제 관련 [약관보기]를 클릭하면 다음과 같은 창이 추가로 생성됩니다.
결제를 담당하는 (주)모빌리언스의 이용약관인데 문제가 있습니다.
[(주)모빌리언스 이용약관의 문제점]
1. 이용약관 화면창에 스크롤바가 없어 이용약관을 제대로 읽을 수 없게 고의적으로 만들었다는 점
2. 화면 우측 상단의 최대화 버튼을 비활성화하여 제대로 못 읽게 만들었다는 점
3. 화면 우측 하단의 화면 키우기 기능도 차단하여 내용을 쉽게 파악할 수 없다는 점
1. 이용약관 화면창에 스크롤바가 없어 이용약관을 제대로 읽을 수 없게 고의적으로 만들었다는 점
2. 화면 우측 상단의 최대화 버튼을 비활성화하여 제대로 못 읽게 만들었다는 점
3. 화면 우측 하단의 화면 키우기 기능도 차단하여 내용을 쉽게 파악할 수 없다는 점
결제 사이트에서 제공하는 이용약관 제시 방법조차 마치 불량한 업체처럼 제공하는 등 매우 문제가 많습니다.
프로그램에서 진단한 악성코드를 치료하지 않고 프로그램을 닫은 상태에서 프로그램이 시스템 트레이에 상주하고 있는 경우 다음과 같은 경고 팝업창을 띄워 줍니다.
4. AD-AwareMain.exe 프로세서의 정체
기본적으로 해당 프로그램은 설치 폴더에 있는 AD-Aware.exe 파일로 작동합니다. 그러면 설치 폴더에 존재하는 AD-AwareMain.exe 파일은 무슨 기능을 하는지 살펴보겠습니다.
해당 프로그램을 시스템 트레이에서도 완전히 닫고 테스트를 해 보겠습니다.
프로그램이 완전히 끝났는데 AD-AwareMain.exe 프로세서가 여전히 상주하는 것을 확인할 수 있습니다.
일정 시간이 지나자 갑자기 시스템 트레이 상단에 다음과 같은 팝업창이 생성됩니다.
프로세서의 기능을 보시면 아시겠지만 AD-AwareMain.exe 프로세서가 일정 시간이 지나면 자동으로 POPAD-Aware.exe 프로세서를 활동시키는 것을 보실 수 있습니다.
생성된 팝업창에서 [취소]를 클릭하면 다음과 같은 프로세서가 작동합니다.
AD-AwareMain.exe 프로세서는 계속 상주하면서 팝업 관련 프로세서는 내려가고 제품이 작동할 때 사용되는 AD-Aware.exe 프로세서가 활동하면서 자동으로 프로그램이 다시 켜지는 현상을 확인할 수 있습니다.
즉 AD-AwareMain.exe 프로세서는 항상 프로그램이 시스템 트레이에 상주할 수 있도록 도와주는 기능을 하고 있으며, 사용자가 프로그램을 닫고 완전히 비활성화를 하여도 다시 살리는 불편함을 제공합니다.
5. 프로그램 삭제하기
프로그램을 삭제하시면 설치 폴더는 깨끗하게 사라지지만 윈도우 시스템 폴더 속에 있는 삭제 관련 파일 AD-Aware_uninstall.exe는 수동으로 삭제하셔야 합니다.
실제 프로그램 삭제 후 윈도우 시작시 등록된 AD-AwareMain.exe 관련 레지 정보가 잘 처리되었는지 알아보겠습니다.
스크린샷과 같이 파일을 찾을 수 없다는 메시지를 남긴체 여전히 레지 정보에 등록되어 있습니다. 만약 저 상태로 윈도우 재부팅이 이루어진다면 윈도우에 진입하면서 특정 항목을 찾을 수 없다는 에러 메시지를 남길 것으로 보입니다.
해당 제품은 해외 유명 제품의 이름과 똑같이 만들고 웹사이트 도메인 역시 파트너 업체인 것처럼 사용자를 현혹하는 제품으로 보입니다. 또한 제품의 프로세서 기능도 상당히 불편함을 야기할 것으로 보입니다.
이상으로 AD-Aware 제품에 대해 살펴보았습니다.
'벌새::Analysis' 카테고리의 다른 글
| TR/Agent.48448 (AntiVir) (2) | 2008/02/21 |
|---|---|
| 국내 악성코드 치료 프로그램 - AntiVir (6) | 2008/02/17 |
| 국내 악성코드 치료 프로그램 - 닥터피씨 2008 (DoctorPC 2008) (0) | 2008/02/17 |
| Downloader.Small.60.BF (AVG) (2) | 2008/02/16 |
| 국내 악성코드 치료 프로그램 - 백신스파이 2008 (7) | 2008/02/16 |
| 국내 악성코드 치료 프로그램 - 에드어웨어 (AD-Aware) (4) | 2008/02/13 |
| 발렌타인(Valentine) Storm Worm 주의 (0) | 2008/02/13 |
| 국내 악성코드 치료 프로그램 - 뮤프리 메딕 (Mufree Medic) (6) | 2008/02/10 |
| 국내 악성코드 치료 프로그램 - 바이러스 클리닉 (VIRUS CLINIC) (2) | 2008/02/03 |
| 국내 악성코드 치료 프로그램 - 닥터컴 (2) | 2008/01/30 |
| 국내 악성코드 치료 프로그램 - 원-클린 (One-Clean) (4) | 2008/01/28 |
