반응형
해외에 등록된 것으로 추정되지만 국내를 상대로 제휴(스폰서) 프로그램 방식으로 국내 포털 사이트 개인화 및 네이버(Naver) 등 포털 사이트 검색 결과를 변조하는 모던플러스(ModernPlus) - MozenKill 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 배포 설치 파일(MD5 : 99399ddb1a6c4c735488468b2f089159)의 경우 1회 설치된 이후에는 동일한 PC 환경에서 재설치가 되지 않도록 제작된 것으로 보이므로 참고하시기 바랍니다.
해당 프로그램의 배포 설치 파일(MD5 : 99399ddb1a6c4c735488468b2f089159)의 경우 1회 설치된 이후에는 동일한 PC 환경에서 재설치가 되지 않도록 제작된 것으로 보이므로 참고하시기 바랍니다.
해당 프로그램은 기존에 다양한 이름 및 버전별 프로그램이 존재하였던 것으로 추정되므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill\MozenKill.lnk
C:\Program Files\MozenKill
C:\Program Files\MozenKill\homepage.url
C:\Program Files\MozenKill\intro.url
C:\Program Files\MozenKill\Log
C:\Program Files\MozenKill\mzkilrun.exe :: 프로그램 실행 파일
C:\Program Files\MozenKill\mzkiluh.dll :: BHO 등록 파일
C:\Program Files\MozenKill\mzkiluhnad.dll
C:\Program Files\MozenKill\mzkiluhsvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\MozenKill\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\MozenKill\winkil_uins.dat
C:\WINDOWS\system32\winkilsvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill\MozenKill.lnk
C:\Program Files\MozenKill
C:\Program Files\MozenKill\homepage.url
C:\Program Files\MozenKill\intro.url
C:\Program Files\MozenKill\Log
C:\Program Files\MozenKill\mzkilrun.exe :: 프로그램 실행 파일
C:\Program Files\MozenKill\mzkiluh.dll :: BHO 등록 파일
C:\Program Files\MozenKill\mzkiluhnad.dll
C:\Program Files\MozenKill\mzkiluhsvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\MozenKill\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\MozenKill\winkil_uins.dat
C:\WINDOWS\system32\winkilsvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일
해당 프로그램은 [C:\Program Files\MozenKill] 폴더에 파일을 생성하며, 시스템 시작시 서비스에 등록된 Windows MineService Diagnostics Service, Windows MineService Update Class 2개의 항목이 자동으로 실행되도록 구성되어 있습니다.
제품의 이용약관에서는 그 외에 해당 프로그램 설치를 통해 사용자 운영 체제(OS), 웹 브라우저 버전, Mac Address, 인터넷 검색 키워드 정보, 방문한 웹 사이트 정보 등을 업체에서 수집한다고 표기되어 있습니다.
그 중에서 사용자가 Internet Explorer 웹 브라우저를 이용하여 네이버(Naver) 검색을 하는 경우 동작하는 부분에 대해 살펴보도록 하겠습니다.
① 사용자가 네이버(Naver) 검색을 실행합니다.
② 원래 제시되어야 하는 네이버(Naver) 검색 결과를 변조하기 위한 시퀀스 링크 정보를 가져옵니다.
④ 사용자가 입력한 키워드를 바탕으로 백그라운드 방식으로 다음(Daum), 구글(Google), 네이트(Nate) 검색 시도
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : MozenKill System
게시자 : USENET
CLSID : {399A3116-130A-4A53-81FD-DDFC014C2907}
파일 : C:\Program Files\MozenKill\mzkiluh.dll
이름 : MozenKill System
게시자 : USENET
CLSID : {399A3116-130A-4A53-81FD-DDFC014C2907}
파일 : C:\Program Files\MozenKill\mzkiluh.dll
해당 광고 동작은 Internet Explorer 웹 브라우저가 실행되면 iexplore.exe 프로세스에 mzkiluh.dll 파일을 추가하여 BHO 방식으로 동작하므로, 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "MozenKill System" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenKill] 폴더를 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{399A3116-130A-4a53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{199A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{299A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{399A3116-130A-4a53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MineService
HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.8.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.8.0
HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{399A3116-130A-4a53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{199A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{299A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{399A3116-130A-4a53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MineService
HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.8.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.8.0
해당 프로그램은 외형적으로는 사용자에게 유용한 프로그램으로 보이지만, 네이버(Naver)와 같은 검색 엔진 결과를 임의로 수정하는 불법적인 문제와 인터넷 활동이 외부에서 수집된다는 점에서 너무 많은 것을 내주는 것이 아닌가 개인적으로 판단됩니다.
728x90
반응형