시스템 시작시 추가적인 수익성 프로그램을 설치할 목적으로 배포가 이루어지고 있는 화면 캡처 프로그램 AllCapture 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 18b2d1adf498aea02d9cf02ef0c1b59d)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.AllCapture.684152 (VirusTotal : 4/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : Snaps (2011.6.5)
▷ 제휴(스폰서) 프로그램 : 오픈캡쳐(OpenCapture) - OpenCap (2011.7.6)
화면 캡처 프로그램을 이용한 배포 방식은 기존에도 유사한 방식이 있었으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\AllCapture
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\AllCapture\AllCapture.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\AllCapture\삭제.lnk
C:\Program Files\AllCapture
C:\Program Files\AllCapture\AllCapture.exe :: 프로그램 실행 파일
C:\Program Files\AllCapture\AllCaptureUpdater.exe :: 시작 프로그램 등록 파일
C:\Program Files\AllCapture\Images
C:\Program Files\AllCapture\skin
C:\Program Files\AllCapture\skin\bg.bmp
C:\Program Files\AllCapture\skin\btn_close.bmp
C:\Program Files\AllCapture\skin\btn_down.bmp
C:\Program Files\AllCapture\skin\btn_folder.bmp
C:\Program Files\AllCapture\skin\btn_save.bmp
C:\Program Files\AllCapture\skin\btn_selection.bmp
C:\Program Files\AllCapture\skin\Skin.xml
C:\Program Files\AllCapture\uninstall.exe :: 프로그램 삭제 파일
해당 프로그램은 Windows 시작시 AllCaptureUpdater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
이 과정에서 특정 업데이트 서버에 연결하여 추가적인 프로그램이 등록되어 있을 경우, 사용자 동의 또는 강제로 설치되는 동작이 있을 것으로 추정됩니다.
실제 사용자가 설치된 AllCapture 프로그램을 실행하면 그림과 같은 정상적인 화면 캡처 기능을 제공하는 프로그램이 실행됩니다.
사용자는 아무런 의심없이 해당 프로그램을 이용할 수 있으며, 차후 프로그램 배포자의 의도에 따라 시스템 시작시마다 업데이트 체크를 통해 추가적인 프로그램 설치를 유도할 수 있습니다.
프로그램 삭제는 제어판의 "AllCapture (캡쳐 프로그램)" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\allcapture
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- AllCapture = "C:\Program Files\AllCapture\allcaptureupdater.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AllCapture uninstall
해당 프로그램은 유용한 기능을 가진 프로그램을 사용자 PC에 설치하여 이용하게 한 후, 차후에 업데이트를 통해 추가적인 수익성 프로그램을 설치할 목적으로 제작된 것으로 추정됩니다.
특히 프로그램 배포 방식이 확인된 정보에 의하면 사용자 몰래 설치가 이루어지고 있는 부분이 있으므로 주의하시기 바랍니다.