당시 KeyPack 1.0 프로그램이 설치된 환경에서 시스템 시작시마다 특정 외부 서버와 연결되어 제휴 프로그램을 체크한다는 부분을 언급한 적이 있습니다.
해당 업데이트를 통해 추가 다운로드될 수 있는 설치 파일(MD5 : f7418f1d3ee52c57d29b5bfa8c6d0344)은 웹하드 홍보 목적으로 제작된 "프리무비s 1.0" 프로그램을 설치하며, 사용자 몰래 추가적인 다운로드를 시도하는 것을 확인할 수 있습니다.
참고로 해당 설치 파일에 대하여 BitDefender 보안 제품에서는 Dropped:Generic.Malware.dld!.D1E878FC (VirusTotal : 12/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
우선 개략적인 전체 흐름도를 살펴보시면서 내용을 이해하시기 바라며, 현재 프리무비s 1.0 프로그램을 통해 추가적인 다운로드 동작 자체는 확인되지 않고 있습니다.
C:\Documents and Settings\(사용자 계정)\바탕 화면\★2011★무료영화다운로드.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\드라마무료보기.lnk
C:\Program Files\freemovies
C:\Program Files\freemovies\freeupdatesvc.exe :: dbupdate Manager 서비스 등록 파일
C:\Program Files\freemovies\oneloader.exe
C:\Program Files\freemovies\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\★2011★무료영화다운로드.ico
C:\WINDOWS\드라마무료보기.ico
C:\Program Files\freemovies\freeupdatesvc.exe
- MD5 : 81b10976892640caa76a0f7d96a231ce
- avast! : Win32:Trojan-gen (VirusTotal : 6/43)
해당 프로그램(프리무비s 1.0)은 [C:\Program Files\freemovies] 폴더에 파일을 생성하며, Windows 시작시 "dbupdate Manager"라는 이름의 서비스로 등록된 freeupdatesvc.exe 파일을 자동으로 실행하여 동작하도록 구성되어 있습니다.(※ 해당 서비스는 동작 후 서비스 중지 상태를 유지합니다.)
해당 프로그램이 설치된 환경에서는 바탕 화면에 무료 영화 다운로드, 드라마 무료 보기와 관련된 단축 URL 링크를 포함한 바로가기 아이콘이 생성됩니다.
해당 바로가기 아이콘을 통해 연결되는 정보를 확인해보면 추천인 아이디를 포함한 파일함 웹하드가 열리는 것을 확인할 수 있습니다.
서비스로 등록된 freeupdatesvc.exe 파일은 시스템 시작시마다 momocell.com 서버와 연결하여 프로그램 설치 PC의 Mac Address를 체크하며 특정 업데이트 서버(update.zonefree.co.kr)에서 oneloader.exe(MD5 : 79fe8c6495a9c4645abfc12ff334fdd4) 파일을 다운로드하는 동작을 확인할 수 있습니다.
참고로 해당 파일에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.Genome.cwwy (VirusTotal : 18/43) 진단명으로 진단되고 있습니다.
oneloader.exe 파일 내부를 확인해 보면 다수의 추가적인 파일 다운로드가 예상되지만, 테스트 당시에는 추가적인 다운로드로 연결되지는 않고 있습니다.
■ iesearchsr_vp.exe (MD5 : 2e347afac3ec9529976aa5d1c08f0c72)
해당 파일은 Kaspersky 보안 제품에서 HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 5/43) 진단명으로 진단되고 있으며, isearchplus 1.00 검색 도우미 프로그램을 설치합니다.
■ utlkorea03_s.exe (MD5 : 3637a6cd6606ec902f71013a07cfd2f7)
해당 파일은 삭제 기능을 지원하지 않는 형태로 바탕 화면과 즐겨찾기에 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기 아이콘을 생성합니다.
■ Setup.exe (MD5 : f7418f1d3ee52c57d29b5bfa8c6d0344)
해당 파일은 프리무비s 1.0 프로그램의 설치 파일과 동일합니다.
■ SetupU.exe (MD5 : 37102d32bd99562b34660a737d0240ea)
해당 파일은 Dr.Web 보안 제품에서 Trojan.MulDrop3.22516 (VirusTotal : 4/43) 진단명으로 진단되며, Windows Yespopup 검색 도우미 프로그램을 설치합니다.
■ SetupH.exe (MD5 : 75a0678661ed50b68ffdf32c63311a3a)
해당 파일은 안철수연구소(AhnLab) V3 보안 제품에서 Win-Dropper/KorAd.77716 (VirusTotal : 13/43) 진단명으로 진단되며, 세부적인 동작은 다음과 같습니다.
해당 파일은 [C:\Documents and Settings\(사용자 계정)\Application Data\Hfiledo.exe] 파일을 생성하며, Windows 시작시마다 Hfiledo.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
Hfiledo.exe 파일을 동작시 특정 서버에 접속하여 추가적인 스폰서 프로그램을 체크하도록 구성되어 있으며, 테스트 시점에서는 추가적인 다운로드가 이루어지지 않고 있습니다.
HKEY_CURRENT_USER\Software\Hfiledo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Hfiledo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- addndo = C:\Documents and Settings\(사용자 계정)\Application Data\Hfiledo.exe
결과적으로 국내에서는 다양한 광고 프로그램이 사용자 PC에 설치되어 광고 행위를 하는 과정에서 추가적인 업데이트를 통해 특정 시점에서는 사용자 몰래 또 다른 프로그램을 다운로드하여 설치를 하는 피라미드 구조를 가지고 있습니다.
그러므로 사용자 몰래 국내에서 제작된 광고 프로그램 등의 악성 프로그램이 설치가 되었다면 단순히 해당 프로그램만을 삭제할 것이 아니라 숙주 프로그램을 찾아서 함께 삭제를 해야지 앞으로 이런 프로그램의 설치로부터 안전할 수 있습니다.
프리무비s 1.0 프로그램의 삭제를 위해서는 제어판의 [프리무비s 1.0] 삭제 항목을 이용하여 삭제하실 수 있으며, 근본적으로 "KeyPack 1.0" 프로그램이 해당 프로그램을 설치한 숙주 프로그램이므로 함께 삭제를 하시기 바랍니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\freemovies
- C:\Program Files\freemovies\freeupdatesvc.exe