본문 바로가기

벌새::Analysis

다운로드 도우미 : 인터넷다운로드(InternetDownload)

반응형

인터넷 상에서 파일을 다운로드할 경우 "인터넷다운로드" 창을 생성하여 파일을 다운로드하는 과정에서 광고 배너 노출 및 추가적인 수익성 프로그램 설치를 유도하는 "인터넷다운로드(InternetDownload)" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7044276af402e9f6910c574111502471)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.179808.A (VirusTotal : 5/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 파일겟(Fileget) (2010.7.26)

 

  제휴(스폰서) 프로그램 : 파일다운(FileDown) 다운로드 도우미 (2010.12.21)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 다운매니저(DownManager) (2011.2.1)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : Pandora_AutoGet (2011.2.26)

 

  <Right Security Blog> 다운로드 도우미 : 다운로드겟(DownLoadGet) (2011.4.7)

 

  다운로드 도우미 : 멀티다운로드(MultiDownLoad) (2011.4.8)

 

  다운로드 도우미 : 라피드겟(RapidGet) - Windows Download Manager RapidGet (2011.10.28)

 

참고로 국내에서 제작된 유사한 기능을 가진 다운로드 도우미 프로그램이 다수 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\internetdownload
C:\Program Files\internetdownload\internetdownload.exe :: 프로그램 실행 파일
C:\Program Files\internetdownload\internetdownloadlauncher.dll
C:\Program Files\internetdownload\uninst_internetdownload.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\internetdownload_se.exe :: InternetDownload Support Service 서비스 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\system32\internetdownloadU.exe

해당 프로그램은 "C:\Program Files\internetdownload" 폴더와 시스템 폴더에 나누어 파일을 생성하며, 서비스에 "InternetDownload Update Service(InternetDownload Support Service)" 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\internetdownload_se.exe" 파일을 자동으로 실행하도록 제작되어 있습니다.

 

자동 실행된 internetdownload_se.exe 파일은 internetdownloadU.exe 파일을 실행하여 프로그램 버전 체크를 통해 메모리에 상주하도록 구성되어 있습니다. 

프로그램이 설치된 환경에서 사용자가 인터넷 상에서 파일을 다운로드 시도할 경우 그림과 같은 "인터넷다운로드" 창이 생성되어 파일을 다운로드 시도합니다. 

또한 파일 다운로드를 진행하지 않고 다운로드 창을 닫을 경우 그림과 같은 안내 메시지를 제시하며, 사용자가 "예(Y)"를 클릭할 경우 다운로드되지 않은 파일과 스크롤바 속에 숨어있는 수익성 프로그램이 자동으로 설치될 수 있으므로 주의하시기 바랍니다. 

이 과정에서 특정 서버에 접속하여 추가된 번들(Bundle) 프로그램이 존재할 경우, 우측 하단의 "프로그램 목록" 메뉴에 기본값으로 체크된 상태에 표시됩니다.

 

하지만 사용자가 스크롤바를 내려 체크된 프로그램을 해제하지 않고 파일을 다운로드할 경우, 다수의 수익성 프로그램이 자동으로 설치되는 동작이 이루어집니다.

 

현재 테스트 시점에서 다음과 같은 프로그램들이 설치될 수 있으므로 참고하시기 바랍니다.

 

(1) 검색 도우미 : 스마트모드(SmartMode) (2011.7.18)

  • h**p://update.smart****.co.kr/setup/smartmode_setup_top2.exe (MD5 : 22c8ab23d618a716b4c697eaa5bc24c1) - Hauri ViRobot : Adware.SmartMode.181312 (VirusTotal : 22/42)

(2) 바콘 : 필수유틸 바로가기 아이콘 생성

  • h**p://update.****manager.co.kr/app/ShortcutMaker.exe (MD5 : 9c8d8d8b06c2a88d5582fc58116be2ac) - Hauri ViRobot : Adware.Agent.91136.AC (VirusTotal : 20/42)
[생성 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\연결\필수유틸.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\필수유틸.lnk
C:\WINDOWS\icon_UTILKOREA_3.ico

해당 프로그램은 Internet Explorer 웹 브라우저의 즐겨찾기와 바탕 화면에 "필수유틸" 바로가기 아이콘을 생성하여 국내 특정 공개 자료실로 접속을 유도하고 있습니다. 

해당 인터넷다운로드(InternetDownload) 프로그램은 시스템 시작 후 internetdownload_se.exe 프로세스가 메모리에 상주하며, 사용자가 파일 다운로드를 실행할 경우 추가적으로 internetdownload.exe 프로세스가 추가되는 것을 확인할 수 있습니다.

 

그러므로 프로그램 삭제시에는 Internet Explorer 웹 브라우저와 "인터넷다운로드" 창을 반드시 종료하신 후 삭제를 진행하시기 바랍니다.

 

특히 제어판을 통한 프로그램 삭제를 진행할 경우 서비스로 등록된 값이 제대로 삭제되지 않아 프로그램 삭제 후에도 시스템 재부팅 과정에서 internetdownload_se.exe 프로세스가 여전히 동작하는 문제가 발생하므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저를 비롯한 모든 프로그램을 종료한 상태에서 실행창에 [sc stop "InternetDownload Update Service"] 명령어를 입력하여 서비스를 중지합니다. 

 

(2) 제어판을 실행하여 "InternetDownload" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다. 

(3) 실행창에 [sc delete "InternetDownload Update Service"] 명령어를 입력하여 삭제되지 않은 서비스를 삭제합니다. 

 

(4) 윈도우 탐색기를 실행하여 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\internetdownload_se.exe
  • C:\WINDOWS\system32\internetdownloadU.exe

(5) 레지스트리 편집기(regedit)를 실행하여 제시된 레지스트리 값이 존재할 경우 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {253D4F9C-9BFD-4e98-A43B-2109853AE11C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\DownLauncher.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{253D4F9C-9BFD-4e98-A43B-2109853AE11C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownLauncher.Download
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownLauncher.Download.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D7B94AAD-EB98-4767-808B-F8F1AD13DC2C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D9D8853F-7295-4687-A688-F7F4FBA15BF6}
HKEY_LOCAL_MACHINE\SOFTWARE\internetdownload
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - DownloadUI = {253D4F9C-9BFD-4e98-A43B-2109853AE11C}
 - internetdownload_util = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - intdwn = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetdownload
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_INTERNETDOWNLOAD_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\InternetDownload Update Service

 

위와 같은 파일 다운로드 도우미 프로그램을 지속적으로 사용하는 과정에서 매번 스크롤바 내부에 숨겨진 다양한 수익성 프로그램을 체크 해제하지 않을 경우 원치 않는 프로그램들이 설치될 수 있으므로 주의하시기 바랍니다.

728x90
반응형