본문 바로가기

벌새::Analysis

스폰서 프로그램 - 필수코덱팩(Essential Codec Pack EX)

반응형

국내에서 제작된 프로그램들 중 설치시 스폰서 프로그램이 설치되는 프로그램에 대해 살펴보도록 하겠습니다.

스폰서 프로그램은 해당 제품의 운영 및 유지를 위해 프로그램에 추가적으로 설치될 수 있는 프로그램을 말합니다.

그러므로 정식 프로그램 자체에는 문제가 없지만, 해당 스폰서 프로그램에 대해서는 문제가 있을 수 있기에 스폰서가 들어간 제품에 대해 살펴보겠습니다.


제품명 : 필수코덱팩(Essential Codec Pack EX)
제품 버전 : 9.2.5.11
라이센스 : 스폰서형 애드웨어 (제작자 : Freeware)
제작사 홈페이지 :
http://www.mysecu.net/tt
제작자 블로그(추정) : http://xneokr.tistory.com

※ 설치시 보안 상태 : F-Secure (동작) / AhnLab SpyZero (실시간 해제 - 설치 후 실시간 동작)

이번에 살펴볼 프로그램은 동영상을 볼 때 설치해야하는 통합코덱 프로그램 중 하나인 필수코덱팩 제품입니다.

사용자 삽입 이미지

제품 설치시 이용약관의 일부분 입니다.

해당 제품은 스폰서 프로그램으로 PC 클리어 / 한겨레 리워드넷을 설치한다고 밝히고 있습니다.

그 아래에는 한겨레 리워드넷에 대한 자세한 정보가 있습니다.

참고로, 스폰서 프로그램에 대한 제작자가 밝힌 부분입니다.

- 이 인스톨러를 설치하는 과정에서 "PC클리어" 및 "리워드넷" 등(이하 '스폰서프로그램')이 설치될수 있습니다. 이는 다음 설치단계화면에서 사용자가 설치여부를 선택할 수 있습니다.
- 이 인스톨러에 포함된 '스폰서프로그램'을 설치한 후에 발생할수있는 모든 문제 및 법적(민/형사상)책임은 인스톨러 설치본 저작권자가 책임지지 않습니다.

사용자 삽입 이미지

다음 단계로 넘어오면 환경 설정 부분에서 맨 하단에 스폰서 설치 옵션이 + 형태(하위 메뉴가 안보이는 상태)로 구성되어 있습니다.

기본값은 스폰서 설치에 체크가 되어 있어 기본값으로 설치시 PC 클리어와 한겨레 리워드넷이 자동으로 설치되어 집니다.

사용자 삽입 이미지

설치 과정 중 F-Secure 제품에서 애드웨어를 진단합니다.

경로 - C:\Program Files\WebGuide\is-t62st.tmp (임시파일)
진단명 - Adware.Win32.CashOn (F-Secure)

해당 파일은 한겨레 리워드넷 웹가이드 관련 설치시 사용되는 임시파일로 추정됩니다.

사용자 삽입 이미지

해당 보안제품의 진단으로 인해 C:\Program Files\WebGuide\webguide7b_C.dll 파일이 제대로 설치되지 못하는 현상이 발생합니다.

사용자 삽입 이미지

이번에는 동일한 경로상에서 동일 진단명으로 webguide7a_c.dll 파일이 진단되고 있습니다. 해당 파일은 웹가이드의 정식 부속 파일입니다.

이제 최종적으로 설치된 폴더와 파일 정보를 살펴보겠습니다.

사용자 삽입 이미지

이 프로그램은 기본적으로 코덱 관련해서 많은 파일을 생성하므로 그 부분은 생략하고 스폰서 프로그램 중으로 살펴보겠습니다.

C:\Program Files\ECP - 필수코덱팩 관련 폴더
C:\Program Files\PCClearPlus - PC 클리어 제품 설치 폴더(악성코드 치료 프로그램)
C:\Program Files\RewardNetwork - 리워드넷(스폰서 프로그램)
C:\Program Files\WebGuide - 웹가이드(스폰서 프로그램)


위에서 언급한 웹가이드 폴더의 일부 파일에 대한 보안제품의 진단 외에 추가적으로 확인한 부분은 다음과 같습니다.

[update.exe] - C:\Program Files\WebGuide
Antivirus Version Last Update Result
AhnLab-V3 2008.5.30.1 2008.06.02 -
AntiVir 7.8.0.26 2008.06.02 -
Authentium 5.1.0.4 2008.06.01 -
Avast 4.8.1195.0 2008.06.02 -
AVG 7.5.0.516 2008.06.02 -
BitDefender 7.2 2008.06.02 -
CAT-QuickHeal 9.50 2008.05.31 AdWare.CashOn.ac (Not a Virus)
ClamAV 0.92.1 2008.06.02 -
DrWeb 4.44.0.09170 2008.06.02 -
eSafe 7.0.15.0 2008.06.01 suspicious Trojan/Worm
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.06.01 -
F-Prot 4.4.4.56 2008.06.01 -
F-Secure 6.70.13260.0 2008.06.02 -
Fortinet 3.14.0.0 2008.06.02 -
GData 2.0.7306.1023 2008.06.02 -
Ikarus T3.1.1.26.0 2008.06.02 Spyware.Win32.RewardNetwork
Kaspersky 7.0.0.125 2008.06.02 -
McAfee 5307 2008.05.30 -
Microsoft 1.3520 2008.06.02 -
NOD32v2 3151 2008.06.02 -
Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.06.02 -
Prevx1 V2 2008.06.02 Malicious Software
Rising 20.47.01.00 2008.06.02 -
Sophos 4.29.0 2008.06.02 -
Sunbelt 3.0.1139.1 2008.05.29 VIPRE.Suspicious
Symantec 10 2008.06.02 Trackware.Rewardnet
TheHacker 6.2.92.331 2008.06.02 -
VBA32 3.12.6.6 2008.06.01 -
VirusBuster 4.3.26:9 2008.06.01 -
Webwasher-Gateway 6.6.2 2008.06.02 -
Additional information
File size: 459816 bytes
MD5...: 1db3003b4b40b72cbb4200edbbee0c6a
SHA1..: 01d54eb0b2fba1aa4fb9b224542f3200a7549a9b
SHA256: e39d929bc2d79832913f24ad9c1b2b1a90d4fb5749db3d3c140b83caadf03ece
SHA512: 8837bbc863c073352765818850b5fae6c991d4ac9fc12e4479ab2b76eee0b50b
a746c04aea5997acf4eeb2f8cfbf31e964ab9084241f9c51313e8249ff771a25
[websv.dll] - C:\Program Files\WebGuide
Antivirus Version Last Update Result
AhnLab-V3 2008.5.30.1 2008.06.02 -
AntiVir 7.8.0.26 2008.06.02 -
Authentium 5.1.0.4 2008.06.01 -
Avast 4.8.1195.0 2008.06.02 -
AVG 7.5.0.516 2008.06.02 -
BitDefender 7.2 2008.06.02 -
CAT-QuickHeal 9.50 2008.05.31 -
ClamAV 0.92.1 2008.06.02 -
DrWeb 4.44.0.09170 2008.06.02 -
eSafe 7.0.15.0 2008.06.01 -
eTrust-Vet 31.4.5837 2008.05.30 -
Ewido 4.0 2008.06.02 -
F-Prot 4.4.4.56 2008.06.01 -
F-Secure 6.70.13260.0 2008.06.02 -
Fortinet 3.14.0.0 2008.06.02 -
GData 2.0.7306.1023 2008.06.02 -
Ikarus T3.1.1.26.0 2008.06.02 Spyware.Win32.RewardNetwork
Kaspersky 7.0.0.125 2008.06.02 -
McAfee 5307 2008.05.30 -
Microsoft 1.3520 2008.06.02 Spyware:Win32/RewardNetwork
NOD32v2 3151 2008.06.02 Win32/Adware.WebGuide

Norman 5.80.02 2008.05.30 -
Panda 9.0.0.4 2008.06.02 -
Prevx1 V2 2008.06.02 -
Rising 20.47.01.00 2008.06.02 AdWare.Win32.CashOn.n
Sophos 4.29.0 2008.06.02 -
Sunbelt 3.0.1139.1 2008.05.29 -
Symantec 10 2008.06.02 Trackware.Rewardnet
TheHacker 6.2.92.331 2008.06.02 -
VBA32 3.12.6.6 2008.06.01 AdWare.Win32.CashOn.y
VirusBuster 4.3.26:9 2008.06.01 -
Webwasher-Gateway 6.6.2 2008.06.02 -
Additional information
File size: 45096 bytes
MD5...: 217952174b6dd93cbf2d47082776db12
SHA1..: b3b24c0d7722dd18b3d4f31fe5fef06e5d257bff
SHA256: f4dc4ae58c48456292924d4bafbbc3642c17d7105309f36eeef07a59b258e63e
SHA512: 4104f52dfea2c578bfd215c3596c9264ea6e2e9a462b6a489283fbb5e5748b08
2465ce3ae3422f9b467f49b0264425c2ed710c518069c67884c68747acc466b0

이제, 또 다른 스폰서 프로그램 PC 클리어 플러스 제품을 살펴보겠습니다.

해당 제품은 설치된 폴더 안의 파일을 안철수연구소 제품 SpyZero를 통해 진단 여부를 살펴보겠습니다.

사용자 삽입 이미지


사용자 삽입 이미지

현재 설치된 파일의 일부를 Win-Adware/Rouge.SpyDr 형태로 진단하고 있습니다.

그럼 왜 PC 클리어를 스파이닥터로 진단할까? 이유는 아마 스파이닥터 제품(TC System)과 서로 DB 공유 등의 협력관계가 아닐까 생각됩니다.

더 자세하게 알고 싶으신 분들은 안철수연구소에 문의해 보시기 바랍니다.

이제 해당 스폰서 프로그램이 설치된 경우 컴퓨터 시스템에는 어떤 변화가 있는지 간단하게 살펴보겠습니다.

사용자 삽입 이미지

먼저 윈도우 시작시 동작하게 등록된 정보에는 PC 클리어 플러스 제품이 등록되어 있는 것을 확인할 수 있습니다.

사용자 삽입 이미지

서비스 항목에 웹가이드가 등록되어 있습니다.

웹가이드는 이용약관에서 언급하였듯이 추천 사이트 기능이 있어서 웹서핑시에 다양한 정보(?)를 제공하여 사용자를 불편하게 만들 수 있을 것으로 보입니다.

사용자 삽입 이미지

위에서 언급하지 않았던 리워드넷은 조용히 프로세서에 등록되어 있습니다.

일반적으로 리워드넷은 IE에 툴바를 설치하여 적립금 기능을 가지고 있는 것으로 보입니다.

이상으로 필수코덱팩에 포함되어 있는 스폰서 프로그램을 살펴보았습니다.


728x90
반응형