게임 및 인터넷 최적화 프로그램의 필수 프로그램으로 등록되어 설치가 이루어지며 제어판을 통한 삭제 기능을 제공하지 않는 "이미지코덱 Plus(ImageCodecPlus)" 프로그램에 대해 살펴보도록 하겠습니다.
확인된 프로그램 배포 방식을 살펴보면 스피드핑(SpeedPing) 프로그램(MD5 : afbb0e76c694b006c0173ffe0e5e3884) 설치시 "이미지코덱 Plus(ImageCodecPlus)" 프로그램을 필수 프로그램으로 등록하여 함께 설치가 이루어지도록 되어 있습니다.
1. 스피드핑(SpeedPing) + 이미지코덱 Plus(ImageCodecPlus) 프로그램 정보
[생성 폴더 / 파일 등록 정보 : 스피드핑(SpeedPing)]
C:\Documents and Settings\All Users\바탕 화면\스피드핑 실행.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\스피드핑
C:\Documents and Settings\All Users\시작 메뉴\프로그램\스피드핑\스피드핑 실행.lnk
C:\Documents and Settings\All Users\시작 메뉴\프로그램\스피드핑\스피드핑 제거.lnk
C:\Program Files\SpeedPING
C:\Program Files\SpeedPING\game_opt.bin
C:\Program Files\SpeedPING\internet_opt.bin
C:\Program Files\SpeedPING\reset.bin
C:\Program Files\SpeedPING\SpeedPing.exe :: 프로그램 실행 파일
C:\Program Files\SpeedPING\SpeedPingUpdater.exe
C:\Program Files\SpeedPING\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\svcspeed.exe :: 서비스(SpeedPing Service) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\SpeedPING\SpeedPing.exe
- MD5 : ae64e63b982383721b12acaab6f0bf53
- Hauri ViRobot : Trojan.Win32.A.Downloader.659530 (VT : 32/46)
C:\Program Files\SpeedPING\SpeedPingUpdater.exe
- MD5 : 9c6c8cb5c885699eb9b04a71dbf09b5d
- Hauri ViRobot : Trojan.Win32.A.Downloader.77912 (VT : 30/46)
C:\WINDOWS\system32\svcspeed.exe
- MD5 : 00492e58ef910707efdbffb754c36931
- nProtect : Trojan/W32.Agent.90112.FPR (VT : 25/46)
해당 프로그램은 "C:\Program Files\SpeedPING" 폴더에 파일을 생성하며, "SpeedPing Service" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\System32\svcspeed.exe" 파일을 자동 실행하도록 구성되어 있습니다.
스피드핑(SpeedPing) 프로그램과 함께 필수적으로 설치되는 "이미지코덱 Plus(ImageCodecPlus)" 프로그램의 설치는 "C:\DOCUME~1\(사용자 계정)~1\LOCALS~1\Temp\nsb3.tmp\Setup_ImageCodecPlus.exe" 파일(MD5 : bd08f464bf8309748426b393c22a9c32)을 생성하여 파일을 생성한 후 자가 삭제 처리되도록 구성되어 있습니다.
C:\Program Files\ImageCodecPlus
C:\Program Files\ImageCodecPlus\ImageCodecPlusUpdater.exe
C:\Program Files\ImageCodecPlus\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\ImageCodecPlus.dll
C:\WINDOWS\system32\svcimgpls.exe :: 서비스(ImageCodecPlus Service) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\ImageCodecPlus\ImageCodecPlusUpdater.exe
- MD5 : 29369fd4e227549215070e56f37a76b9
- Hauri ViRobot : Trojan.Win32.A.Downloader.40960.ZU (VT : 33/46)
C:\WINDOWS\system32\svcimgpls.exe
- MD5 : e109105adfa6c64552f97411897adbcd
- AhnLab V3 : Adware/Win32.WinAgir (VT : 23/45)
"이미지코덱 Plus(ImageCodecPlus)" 프로그램은 "C:\Program Files\ImageCodecPlus" 폴더에 주요 파일을 생성하며, "ImageCodecPlus Service" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\System32\svcimgpls.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(svcimgpls.exe)은 1분이 경과하면 특정 서버와 통신을 하는 동작을 확인할 수 있습니다.
이렇게 설치된 스피드핑(SpeedPing)은 게임 및 인터넷 최적화 기능을 수행할 수 있으며, 함께 설치된 이미지코덱 Plus(ImageCodecPlus) 프로그램은 업데이트 체크 과정에서 차후 추가적인 프로그램 설치 동작이 이루어질 가능성이 존재합니다.
2. IG Image Codec 프로그램 정보
시스템 시작 후 이미지코덱 Plus(ImageCodecPlus) 프로그램은 업데이트 체크를 통해 "C:\Program Files\ImageCodecPlus\ImageCodecPlusUpdater.exe" 파일을 실행할 수 있으며, 이를 통해 "IG Image Codec 설치"창을 생성하여 다음과 같은 프로그램 설치가 이루어질 수 있습니다.
업데이트를 통해 특정 서버로부터 pt_IGImageCodec.dat 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ImageCodecPlus\pt_ImageCodecPlus.exe" 파일(MD5 : 63422657a8349d8d8bbcf5959c5d32e9)을 생성하여 다음과 같은 프로그램을 추가로 설치합니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ImageCodecPlus
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ImageCodecPlus\pt_ImageCodecPlus.exe
C:\Documents and Settings\All Users\시작 메뉴\프로그램\IG Image Codec
C:\Documents and Settings\All Users\시작 메뉴\프로그램\IG Image Codec\IG Image Codec 삭제.lnk
C:\Program Files\IGImageCodec
C:\Program Files\IGImageCodec\IGImageCodecUpdater.exe
C:\Program Files\IGImageCodec\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\IGImageCodec.dll
C:\WINDOWS\system32\svcigimg.exe :: 서비스(IGImageCodec Service) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\IGImageCodec\IGImageCodecUpdater.exe
- MD5 : 3313816e2ca079d0d13ce4abdd60d0d0
- Hauri ViRobot : Trojan.Win32.A.Downloader.40960.XZ (VT : 34/46)
C:\WINDOWS\system32\svcigimg.exe
- MD5 : 29e431065c69892bb262b7b671b3b3aa
- Kaspersky : not-a-virus:AdWare.Win32.WinAgir.iy (VT : 29/46)
"IG Image Codec" 프로그램은 "C:\Program Files\IGImageCodec" 폴더에 주요 파일을 생성하며, "IGImageCodec Service" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\System32\svcigimg.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(svcigimg.exe)은 1분이 경과하면 특정 서버와 통신하는 동작을 확인할 수 있습니다.
이를 통해 스피드핑(SpeedPing) 프로그램의 필수 프로그램으로 설치되는 "이미지코덱 Plus(ImageCodecPlus)" 프로그램은 동일한 기능을 수행하는 "IG Image Codec" 프로그램을 추가로 설치하여 함께 동작하는 모습을 확인할 수 있습니다.
두 프로그램은 파일 구성 및 기능면에서 동일하며 먼저 설치된 "이미지코덱 Plus(ImageCodecPlus)" 프로그램은 제어판을 통한 삭제를 제공하지 않으므로 사용자가 프로그램의 존재를 제대로 인지하지 못할 수 있습니다.
이를 통해 특정 시점에서는 이들 프로그램을 통해 추가적인 수익성 프로그램 설치가 사용자 몰래(?) 이루어질 수 있을 것으로 추정됩니다.
특히 안랩(AhnLab) 진단 통계 정보를 확인해보면 기존부터 "Adware/Win32.winagir" 진단명으로 다양한 배포 경로를 통해 꾸준하게 유포가 확인되고 있는 것을 확인할 수 있습니다.
3. 프로그램 삭제 정보
(1) 스피드핑(SpeedPing) 프로그램
스피드핑(SpeedPing) 프로그램 삭제를 위해서는 실행창에 [sc stop "SpeedPing Service"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "스피드핑" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SpeedPING
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedPING
HKEY_LOCAL_MACHINE\SOFTWARE\SpeedPing
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SPEEDPING_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SpeedPing Service
(2) 이미지코덱 Plus(ImageCodecPlus) 프로그램
"이미지코덱 Plus(ImageCodecPlus)" 프로그램 삭제를 위해서는 실행창에 [sc stop "ImageCodecPlus Service"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.
"이미지코덱 Plus(ImageCodecPlus)" 프로그램은 제어판을 통한 삭제 기능을 제공하지 않으므로, "C:\Program Files\ImageCodecPlus\uninst.exe" 파일을 직접 실행하여 프로그램을 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\ImageCodecPlus
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IMAGECODECPLUS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ImageCodecPlus Service
(3) IG Image Codec 프로그램
"IG Image Codec" 프로그램 삭제를 위해서는 실행창에 [sc stop "IGImageCodec Service"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "IG Image Codec" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\IGImageCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IGImageCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IGImageCodec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IGIMAGECODEC_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IGImageCodec Service
이상과 같이 프로그램과 함께 필수적으로 설치되는 다른 프로그램이 삭제를 방해하며 사용자가 원치 않는 또 다른 프로그램들을 설치할 수 있으므로 검증된 프로그램이 아닌 경우에는 부가적으로 설치되는 프로그램에 대해 매우 주의하시기 바랍니다.