다양한 블로그를 개설하여 인터넷 검색을 통해 접속한 사용자들이 링크를 통해 다운로드된 파일을 실행시 사용자 몰래 "캣유틸(CatUtil)" 프로그램 설치 및 추가적인 수익성 프로그램의 설치를 유도하는 방식에 대해 살펴보도록 하겠습니다.

일반적으로 파일 배포 방식은 다음(Daum) 블로그를 통해 활발하게 이루어지고 있으며, 그림과 같은 패턴으로 프로그램 설치 파일을 다운로드 링크를 통해 받을 수 있도록 작성되어 있습니다.

다운로드된 파일(MD5 : 0d9ce4fd5602b1cf83acc24c73376327)의 특징은 디지털 서명이 "mediasave" 서명자가 포함되어 있습니다.

 

  다운로드 도우미 : 탑유틸(TopUtil) (2012.10.31)

 

이는 기존에 소개한 "탑유틸(TopUtil)" 다운로드 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

사용자가 다운로드한 파일을 실행할 경우, 화면상으로는 "초고속 다운로드 런쳐"창이 생성되며 백그라운드 방식으로 사용자 몰래 "캣유틸(CatUtil)" 프로그램이 자동으로 설치됩니다.

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\CatUtil
C:\Program Files\CatUtil\_ver.ini
C:\Program Files\CatUtil\CatUtilDown.exe :: 초고속 다운로드 런쳐창 생성 파일
C:\Program Files\CatUtil\CatUtilService.exe :: 시작 프로그램 등록 파일
C:\Program Files\CatUtil\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\CatUtil\ver.ini
C:\WINDOWS\system32\remover.exe

 

우선 "초고속 다운로드 런쳐"창을 살펴보면 "필수 설치 프로그램(사용자가 다운로드를 원하는 프로그램 + 캣유틸 업데이터)""스폰서 프로그램"으로 구성되어 있습니다.

 

특히 "스폰서 프로그램"은 사용자가 "+" 버튼을 클릭해야지 숨어 있는 3종의 수익성 프로그램 목록이 제시되도록 되어 있으며, 기본값 그대로 전송을 시작할 경우 자동으로 이들 프로그램이 모두 설치되므로 주의하시기 바랍니다.

또한 만약 이런 창을 생성되어 다운로드를 포기하고 "닫기" 버튼을 누를 경우에는 위와 같은 안내창이 생성되어 실수로 "예(Y)"를 클릭할 경우 설치가 이루어지므로 끝까지 주의할 필요가 있습니다.

 

위와 같은 "초고속 다운로드 런쳐"창이 생성되는 과정에서 백그라운드로 몰래 설치되는 캣유틸(CatUtil) 프로그램은 Windows 시작시 CatUtilService.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

이 과정에서 다운로드 창에 등록된 스폰서 프로그램 이외에 숨겨진 번들(Bundle) 프로그램 정보를 체크하는 동작이 있으며, 만약 추가된 수익성 프로그램이 존재할 경우 업데이트 창 생성을 통해 설치 유도 행위가 존재할 가능성이 있습니다.

프로그램 삭제는 제어판의 "캣유틸" 프로그램을 통해 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\WINDOWS\system32\remover.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\CatUtil
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - CatUtilService = C:\Program Files\CatUtil\CatUtilService.exe run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CatUtil

 

마지막으로 "초고속 다운로드 런쳐"창을 통해 설치될 수 있는 스폰서 프로그램에 대한 간략한 정보는 다음과 같습니다.

 

(1) 검색 도우미 : Windows Smart Key (2012.11.23)

  • h**p://***util.com/***/bundle/smartwinkey_cat.exe (MD5 : 88efa742bfac081e15c5eb1970398e40) - nProtect : Adware/W32.KrAdword.1317224 (VirusTotal : 17/45)

(2) PC 최적화 프로그램 : 윈도우패스트(WindowFast) (2013.2.10)

  • h**p://update.win***fa**.co.kr/set/windowfastsetup_cat.exe (MD5 : 0fa4369acec20b3b5755c2412fb7070c) - Hauri ViRobot : Trojan.Win32.S.Onescan.208912 (VirusTotal : 31/45)

(3) 검색 도우미 : KCW Ad Matching (2012.4.15)

  • h**p://down.**matching.co.kr/adInstall_ad030.exe (MD5 : 353ff26c26b5deb97b6664754d3ab7e8) - AhnLab V3 : PUP/Win32.AdMatching (VirusTotal : 5/45)

그러므로 스팸성 블로그에서 제시되는 프로그램 설치 파일을 다운로드하여 실행하는 행위만으로도 원치 않는 프로그램이 자동으로 설치될 수 있으며, 차후 추가적인 업데이트를 통해 수익성 프로그램의 설치와 연결될 수 있으므로 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..