본문 바로가기

벌새::Analysis

다운로드 도우미 : 마이겟(MyGet)

반응형

Internet Explorer 웹 브라우저를 이용하여 파일 다운로드시 생성되는 "MyGet 다운로드 도우미" 창을 통해 추가적인 제휴 프로그램 설치를 유도하는 마이겟(MyGet) 다운로드 도우미 프로그램(SHA-1 : a3a21d94590444a888bf90aa64c90c659d942a08)에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존에 배포한 적이 있으며 최근에는 파일 구성이 변경된 변종이 확인되고 있으므로 참고하시기 바랍니다.

프로그램 설치 과정에서는 특정 서버에서 MyGet 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\mygetinstall.exe" 파일(SHA-1 : 726f6963cab49ce33d1262840f455392f21bcb49)로 생성하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\mygetinstall.exe
C:\Users\(사용자 계정)\AppData\Roaming\myget
C:\Users\(사용자 계정)\AppData\Roaming\myget\DownList.dt
C:\Users\(사용자 계정)\AppData\Roaming\myget\mgdownload.dll
C:\Users\(사용자 계정)\AppData\Roaming\myget\myget.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetch.exe
C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetsvc.exe :: 서비스(MGDRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetup.exe :: 시작 프로그램(MGStart) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\myget\up
C:\Users\(사용자 계정)\AppData\Roaming\myget\XDownLoad.ini
C:\Users\(사용자 계정)\Documents\마이겟 받은 파일

(주)네오유엑스 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\myget" 폴더에 파일을 생성합니다.

"MGDRunS (표시 이름 : Myget Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetsvc.exe" 파일(SHA-1 : faec36f8f4a28dc3699de3ef829a1ec45aed359f)을 자동 실행합니다.

  • h**p://download.**get.co.kr/myget/update/mgdownload.dll
  • h**p://download.**get.co.kr/myget/update/myget.exe
  • h**p://download.**get.co.kr/myget/update/mygetch.exe
  • h**p://download.**get.co.kr/myget/update/mygetsvc.exe
  • h**p://download.**get.co.kr/myget/update/mygetuninstall.exe
  • h**p://download.**get.co.kr/myget/update/mygetup.exe

이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetup.exe" 파일(SHA-1 : 4296c4cacea386ef7b53f35bb8d8fa4b640a2625)을 실행하여 특정 서버에서 암호화된 프로그램 버전 정보를 체크하여 파일 누락 및 업데이트 버전이 존재할 경우 위와 같은 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\myget\up" 폴더에 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\myget\mygetch.exe" 파일(SHA-1 : dcad412e9df921bd68d383c34b5d39bcf2e88b36) 실행을 통해 패치를 진행할 수 있습니다.

이를 통해 최초 실행된 MyGet 다운로드 도우미 프로그램은 메모리에 "myget.exe + mygetsvc.exe" 프로세스를 상주시킨 후 사용자가 Internet Explorer 웹 브라우저를 통해 파일 다운로드를 감시하여 다음과 같이 동작할 수 있습니다.

웹 브라우저를 통해 파일 다운로드 시도시 "C:\Users\(사용자 계정)\AppData\Roaming\myget\myget.exe" 파일(SHA-1 : 0de48fc62ac384f290e970530b5b4dfb854285f3)은 "MyGet 다운로드 도우미" 창을 생성하며, 이 과정에서 특정 서버에서 추가적인 제휴 프로그램 정보를 체크하여 "FavoriteIconsV2, 스마트탭, 주소창 검색 서비스, 멀티코덱"을 일괄 자동 설치하도록 유도하고 있습니다.

(1) 바로가기 아이콘 생성 프로그램 : FavoriteIconsV2 (2014.7.10)

  • h**p://download2.favorite-*****.com/favorite-icons/launcher/downFavoriteIconsV2.exe (SHA-1 : 8a65a6b2b7c81c4e926fae3d8181fda57fcc4d57) - Avira : Adware/Downware.BJ (VT : 6/57) <추가 다운로드> h**p://download2.favorite-*****.com/favorite-icons/setup/FavoriteIconsV2Setup.exe (SHA-1 : f351875e67c47eb73e4391463cfc07e1c2756860)

(2) 검색 도우미 : 스마트탭 (2014.5.24)

  • h**p://download.smart***.co.kr/smarttab/launcher/downsmarttab.exe (SHA-1 : 0da1c8ae375b5837d99798015d5061610596fe31) - AVG : Generic.8C5 (VT : 3/57) <추가 다운로드> h**p://download.smart***.co.kr/smarttab/setup/smarttabsetup.exe (SHA-1 : a603440d7f66a8bbeee4c123ab60c939686c136b) - ESET : a variant of Win32/Adware.PopAd.AE (VT : 6/57)

(3) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)

  • h**p://download.kt****search.co.kr/ktqooksearch/launcher/downkthopensearch.exe (SHA-1 : 51847d775971f784d529ec896daa74a05c532730) - Kaspersky : Trojan.Win32.Badur.mnbn (VT : 17/57) <추가 다운로드> h**p://download.kt****search.co.kr/ktqooksearch/setup/kth_opensearch_fsetup.exe (SHA-1 : 99c82ba054ea3f69425154c08af307d8a4cd0b73) - AhnLab V3 365 Clinic : PUP/Win32.KTHOpenSearch.R51368 (VT : 31/57)

(4) 멀티코덱(MultiCodec) 설치로 인한 [연관 추천 태그] 팝업창 생성 주의 (2011.3.20)

  • h**p://download.multi*****.co.kr/multicodec/launcher/downmulticodec.exe (SHA-1 : 46fd2b46abe9036b072da3ec4e951773a1e5a0ac) - AVG : Generic.8C5 (VT : 4/57) <추가 다운로드> h**p://download.multi*****.co.kr/multicodec/setup/multicodecsetup.exe (SHA-1 : e4143f62e90f544d380090a538c4896592fd55a1) - avast! : Win32:Evo-gen [Susp] (VT : 5/57)

그러므로 "MyGet 다운로드 도우미" 창에 표시된 제휴 프로그램의 체크 박스를 해제하지 않을 경우 다수의 광고 프로그램이 자동 설치될 수 있으므로 주의하시기 바랍니다.

 

MyGet 다운로드 도우미 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "MGDRunS"] 명령어를 입력 및 실행하여 메모리에 상주하는 mygetsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 myget.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 MyGet 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바라며, 프로그램 삭제 후 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\Temp\mygetinstall.exe
  • C:\Users\(사용자 계정)\Documents\마이겟 받은 파일

(d) 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 다음의 레지스트리 값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MGStart = "c:\users\(사용자 계정)\appdata\roaming\\myget\mygetup.exe"

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MGDRunS

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {25E3D502-7C35-4FF3-92A8-ADA599BBB0BC}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - MGStart = "c:\users\(사용자 계정)\appdata\roaming\\myget\mygetup.exe"
HKEY_CURRENT_USER\Software\myget
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{25E3D502-7C35-4FF3-92A8-ADA599BBB0BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mgdownload.CGFDownload
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyGet
HKEY_LOCAL_MACHINE\SOFTWARE\myget
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MGDRunS

 

MyGet 다운로드 도우미 프로그램은 웹 브라우저를 통한 파일 다운로드시마다 생성되어 사용자의 부주의한 클릭을 유도하여 다수의 광고 프로그램을 자동으로 설치하여 불편을 유발할 수 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형