728x90
반응형
국내에서 통합코덱으로 소개되어 있지만 2010년 7월 23일경에 안철수연구소(AhnLab) V3 보안 제품에서 악성코드로 진단이 이루어지고 있는 T-통합코덱(T-Codec) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(SHA1 : bb1ec4b94d5ab8911c3359f07dc67c2af805f36d)에 대하여 AhnLab V3 보안 제품에서는 Win-Adware/TCodecLite.979425 (VirusTotal : 18/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
해당 프로그램은 [C:\Program Files\TCodecLite] 폴더에 파일을 생성하며, Windows 시작시 [C:\Program Files\TCodecLite\TCodecLite.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
해당 연결 서버에서는 프로그램 버전 체크를 위한 것으로 표시되지만, 실제 프로그램 업데이트 이외의 다른 추가적인 다운로드 등이 존재하였을 가능성이 있는 것으로 판단됩니다.
참고로 테스트 과정에서는 추가적인 다운로드는 0 Byte 크기의 TCodecLiteSetup.exe 파일만 확인하는 것으로 보입니다.
프로그램이 외부에 소개되는 부분에서는 통합코덱으로 알려져 있지만 실제 생성 파일을 살펴보면 Flash 비디오 재생과 관련된 FLVSplitter.ax 코덱 파일만 존재할 뿐 본래의 기능에는 미달하는 것으로 판단됩니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
해당 프로그램은 설치된 PC 환경에서 프로그램 목록에 제시되지 않으므로 사용자는 설치 여부를 제어판 또는 프로그램 설치 폴더를 통해서만 확인이 가능하므로 참고하시기 바랍니다.
해당 프로그램의 설치 파일(SHA1 : bb1ec4b94d5ab8911c3359f07dc67c2af805f36d)에 대하여 AhnLab V3 보안 제품에서는 Win-Adware/TCodecLite.979425 (VirusTotal : 18/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 등록 정보]
C:\Program Files\TCodecLite\FLVSplitter\FLVSplitter.ax
C:\Program Files\TCodecLite\tcl.dat
C:\Program Files\TCodecLite\TCodecLite.exe :: 시작 프로그램 등록 파일
C:\Program Files\TCodecLite\TCodecUninst.exe
C:\Program Files\TCodecLite\unins000.dat
C:\Program Files\TCodecLite\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\TCodecLite\update\TCodecLiteSetup.exe
C:\Program Files\TCodecLite\FLVSplitter\FLVSplitter.ax
C:\Program Files\TCodecLite\tcl.dat
C:\Program Files\TCodecLite\TCodecLite.exe :: 시작 프로그램 등록 파일
C:\Program Files\TCodecLite\TCodecUninst.exe
C:\Program Files\TCodecLite\unins000.dat
C:\Program Files\TCodecLite\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\TCodecLite\update\TCodecLiteSetup.exe
[생성 파일 진단 정보]
C:\Program Files\TCodecLite\TCodecLite.exe (SHA1 : 63179d026eaef79504a208c22473467e1f7029b0)
- AhnLab V3 : Win-Adware/TCodecLite.525824 (VirusTotal : 17/43)
C:\Program Files\TCodecLite\TCodecLite.exe (SHA1 : 63179d026eaef79504a208c22473467e1f7029b0)
- AhnLab V3 : Win-Adware/TCodecLite.525824 (VirusTotal : 17/43)
해당 프로그램은 [C:\Program Files\TCodecLite] 폴더에 파일을 생성하며, Windows 시작시 [C:\Program Files\TCodecLite\TCodecLite.exe] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[TCodecLite.exe 파일 네트워크 연결 정보]
GET /lite/program/version.htm HTTP/1.1
Content-Type: text/html
Host: www.*-codec.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /lite/program/version.htm HTTP/1.1
Content-Type: text/html
Host: www.*-codec.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
해당 연결 서버에서는 프로그램 버전 체크를 위한 것으로 표시되지만, 실제 프로그램 업데이트 이외의 다른 추가적인 다운로드 등이 존재하였을 가능성이 있는 것으로 판단됩니다.
참고로 테스트 과정에서는 추가적인 다운로드는 0 Byte 크기의 TCodecLiteSetup.exe 파일만 확인하는 것으로 보입니다.
프로그램이 외부에 소개되는 부분에서는 통합코덱으로 알려져 있지만 실제 생성 파일을 살펴보면 Flash 비디오 재생과 관련된 FLVSplitter.ax 코덱 파일만 존재할 뿐 본래의 기능에는 미달하는 것으로 판단됩니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
C:\Program Files\TCodecLite
C:\Program Files\TCodecLite\update
C:\Program Files\TCodecLite\update\TCodecLiteSetup.exe
C:\Program Files\TCodecLite\update
C:\Program Files\TCodecLite\update\TCodecLiteSetup.exe
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- TCodecLite = C:\Program Files\TCodecLite\TCodecLite.exe
HKEY_CURRENT_USER\Software\TCodecLite
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TCodecLite_is1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- TCodecLite = C:\Program Files\TCodecLite\TCodecLite.exe
HKEY_CURRENT_USER\Software\TCodecLite
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TCodecLite_is1
해당 프로그램은 설치된 PC 환경에서 프로그램 목록에 제시되지 않으므로 사용자는 설치 여부를 제어판 또는 프로그램 설치 폴더를 통해서만 확인이 가능하므로 참고하시기 바랍니다.
728x90
반응형