본문 바로가기

벌새::Analysis

어느 파일 공유 프로그램의 생존법

반응형
우연히 국내에서 서비스하는 F 파일 공유 사이트의 ActiveX 수동 설치 파일을 확인하던 중 특이한 형태로 구성이 되어 있어서 소개해 드리겠습니다.
해당 업체 서비스는 기본적으로 ActiveX 방식으로 프로그램을 설치하도록 유도하고 있지만, 추가적으로 ActiveX 수동 설치 파일 단위로 다운로드 받아 프로그램을 설치할 수 있게 하였습니다.

그런데, 해당 파일을 실제 F 파일 공유 사이트 이름을 사용하지 않고 K 파일 수동 설치 다운로드라는 명칭을 이용합니다.
실제 설치 단계에서도 K 파일 관련 설치 프로그램으로 이름을 표기하고 있는 것을 확인할 수 있었습니다.
초기 생성 폴더, 파일 정보
설치가 완료된 상태에서 생성된 폴더와 파일 구성을 보면, F 파일 공유 사이트에서 제공하는 설치 파일이 이상하게 K****File 폴더를 생성하여 내부에 실행 관련 파일을 구성하고 있는 것을 확인할 수 있었습니다.
해당 프로그램을 실행하면 위와 같이 K****파일 업체를 홍보하고 있으며, 초기 설치 파일을 제공하는 사이트와는 전혀 다른 사이트(C*파일 공유업체)로 홈페이지를 이동하고 있습니다.

해당 파일 공유 사이트 두 곳의 도메인 등록정보를 확인해보아도 특별히 연관성을 전혀 찾을 수 없었습니다.

여기서 프로그램의 연결 사이트 문제는 접어두고 해당 프로그램의 생존법에 대해 살펴보도록 하겠습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - *****File = C:\Program Files\*****File\Server*****File.exe

설치된 프로그램은 설치 폴더 내에 존재하는 Server*****File.exe 실행파일을 윈도우 시작과 함께 동작하도록 등록되어 있습니다.
또한 프로그램의 삭제 기능 역시 제어판에서 [K**** 파일 version 2.0] 삭제 항목을 통하여 정상적으로 지원하고 있으며, 실제 설치 폴더 내의 unins000.exe 파일이 삭제 관련 파일입니다.

문제는 삭제를 완료한 상태에서 다음과 같은 문제점을 내포하고 있습니다.

먼저, 초기 프로그램이 등록하고 있었던 시작 프로그램 등록 정보 레지스트리 항목이 그대로 존재하여 사용자가 재부팅을 하였을 경우 특정 파일이 존재하지 않는다고 오류 메시지를 출력할 수 있습니다.

또한 사용자 컴퓨터 바탕화면에 초기 생성하였던 K**** 파일 공유 프로그램의 실행 아이콘만을 계속적으로 남겨두어 사용자가 해당 프로그램에 대해 계속 눈에 들어오도록 구성하고 있습니다.
1차 삭제 후 남아있는 폴더, 파일 정보
해당 프로그램이 설치되어 있던 폴더 내의 파일 구성을 살펴보면, 프로그램 실행, 삭제와 관련된 파일은 삭제되어 있지만, UpdateBackup / UpdateTemp 폴더 내에는 설치 초기에 생성되었던 동일한 실행 파일  ServerK****File.exe이 남아있는 것을 확인할 수 있습니다.

실제 해당 프로그램이 어떻게 다시 백업 폴더 또는 임시 폴더 내에 있는 파일을 실행하도록 할지는 모르겠지만 만약에 사용자가 해당 파일을 실행해 보았을 경우에 해당 프로그램은 재설치가 이루어진다는 점입니다.
2차 설치 생성 폴더, 파일 정보
이렇게 설치된 폴더와 파일 정보를 살펴보면 이전과는 다르게 구성되어 있습니다.

이번에는 UpdateBackup 폴더 내에서 해당 프로그램의 실행 파일(ServerK****File.exe)과 부모 폴더(K****File)에 존재하던 나머지 파일을 그대로 복사하여 구성을 한 것을 확인할 수 있습니다.

그리고 이전처럼 다시 K**** 파일 공유 프로그램은 정상적으로 동작을 합니다.

이제 여기에서의 핵심은 이렇게 설치된 경우 초기 삭제시 그대로 남아있던 바탕화면의 K**** 공유 프로그램 실행 아이콘을 클릭시 경로가 UpdateBackup 폴더로 수정이 되어 프로그램이 정상적으로 동작을 하기 시작한다는 점과 시작 프로그램 등록정보 역시 수정이 자동으로 이루어진다는 점입니다.

[2차 시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - *****File = C:\Program Files\*****File\UpdateBackup\Server*****File.exe

특히 이렇게 동작하는 프로그램은 삭제 관련 파일을 생성하지 않아서 프로그램을 사용자가 삭제를 하려고 할 경우 수동으로 삭제해야 하는 불편이 야기됩니다.

초기 F 파일 공유 사이트에서 배포하는 설치 파일이 정작 C 파일 공유 사이트 프로그램인 점부터 시작하여 프로그램 삭제 후에도 프로그램 목록에서는 자신을 삭제하면서 바탕화면에만 유독 실행 아이콘을 그대로 남기두는 점, 어떤 이유를 통해 재설치가 이루어졌을 경우 삭제를 지원하지 않는 점은 매우 지능적으로 프로그램을 구성하고 있다고 볼 수 있습니다.

그러므로 일반적으로 사용자가 어떤 프로그램을 정상적인 삭제 과정을 통해 삭제를 하였다면 해당 삭제 기능만 신뢰하지 마시고, 반드시 삭제 후 남아있는 폴더와 파일을 수동으로 찾아 추가적으로 삭제하신 후 레지스트리 정리를 하셔야 안전하다고 볼 수 있습니다.

위에서 살펴본 이런 류의 공유 프로그램은 자신이 사용자의 컴퓨터에 오래 살아남는다는 의미는 곧 금전적 이득으로 연결될 수 있기 때문에 위와 같이 교묘한 방식을 이용하는 것으로 보입니다.

마지막으로 왜 F 사이트에서 C 사이트 프로그램을 설치하도록 하였는지는 개인적인 생각으로 F 사이트 서비스를 이용하는 대부분의 사용자는 ActiveX 설치 방식을 이용하기에 C 사이트 업체와 제휴하여 수동 설치 파일로 설치하는 사용자는 C 업체로 유도하는 것이 아닌가 생각됩니다.

 

728x90
반응형
  • 알 수 없는 사용자 2009.06.18 11:41 댓글주소 수정/삭제 댓글쓰기

    언제나 죽지 않고 살아남는 비결~~!

  • 포즈다운 2009.06.25 20:41 댓글주소 수정/삭제 댓글쓰기

    F:파일큐,K:코리아파일,C:코파일이 아닐까하는 생각이 드네요. 맞나??
    제가 취미삼아 웹하드와 p2p를 크랙하다보니 여러군데를 돌아댕기거든요..
    코리아파일과 코파일은 사업자등록번호나 주소가 서로 같네요. 동일업체인듯..
    그리고 이젠 크랙을 접으신걸로 아는데 분석하시는것 보니 크랙도 잘하셨을거 같아요.
    암튼 글 잘 읽고 갑니다..