본문 바로가기

벌새::Analysis

파일 공유 서비스 이용시 주의할 점 : QuickDownloadService

반응형
국내 파일 공유 서비스는 지금도 여전하지만 과거 음지의 와레즈(Warez)에서 양지의 서비스로 변화된 모습이라고 생각합니다.

이런 파일 공유 서비스의 현재 모습은 다수의 서비스 업체가 존재하지만 그 뿌리를 찾아들어가면 한 업체가 다른 서비스 명칭으로 여러 개의 서비스를 운영하거나 서로 제휴 방식을 통해 공존하는 모습을 볼 수 있습니다.

그 중 가장 큰 특징 중의 하나는 해당 서비스의 특정 공유 자료를 확인하기 위해 접근할 경우 회원 가입 유무에 관계없이 ActiveX를 설치하도록 유도하는 경우가 많습니다. 물론 서비스를 이용할 경우에도 동일한 ActiveX로 설치를 하여 서비스를 이용합니다.

이런 과정에서 파일 공유 서비스를 이용하기 위해 설치된 파일 구성을 보면 방대한 데이터의 빠른 공유를 위해 그리드(Grid) 방식을 이용하고 있으며 여기에서 한 가지 사용자들이 놓치고 있는 부분을 알아보도록 하겠습니다.

그리드 방식이란, 해당 서비스가 설치된 컴퓨터의 인터넷 자원을 끌여서 해당 서비스 업체의 서버 부담을 줄이기 위한 장치로 이해를 하시면 됩니다.
실제로 한 파일 공유 서비스를 설치하여 살펴보면 해당 서비스 업체에서 제공하는 프로그램을 설치할 경우 생성 파일 정보는 위와 같습니다.

여기서 추가적으로 설치되는 항목이 QuickDownloadService 폴더가 생성이 됩니다. 해당 서비스는 설치시 어떤 정보도 제공하지 않고 있으며, 해당 서비스 업체의 이용약관에서는 그리드 방식으로 서비스를 한다는 문구는 발견할 수 있습니다.
[생성 프로세스 정보]

qdownagent.exe - 고속 다운로드 에이전트
qdownservice.exe - 고속 다운로드 서비스
qdownupdate.exe - 고속 다운로드 업데이트

이렇게 파일 공유 프로그램을 설치하면 자동으로 해당 서비스의 이용 여부와 관계없이 프로세스에는 3개가 등록되어 실행이 되며, 특정 업체에서 제작한 것으로 추정되는 Grid 서비스임을 확인할 수 있습니다.

[Service 항목 등록 정보]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuickDownload Agent
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuickDownload Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuickDownload Update

해당 그리드 서비스를 위해 위와 같이 서비스 항목에 등록을 하여 윈도우 시스템이 시작시 자동으로 실행되도록 구성되어 있습니다.
그런데, 실제 사용자가 제어판의 서비스 항목을 살펴보면 정상적으로 등록된 정보와는 다르게 위와 같이 서비스 이름과 설명이 공란으로 처리하여 무슨 서비스인지 확인할 수 없도록 구성되어 있는 것을 확인할 수 있습니다.

여기까지는 큰 문제가 없다고 넘어간다면 실제 사용자가 해당 파일 공유 서비스를 이용하다가 해당 프로그램을 삭제를 할 때 주의할 점을 살펴보겠습니다.

일반적으로 파일 공유 서비스는 제어판에서 삭제를 지원하고 있고, 삭제를 통해 프로그램을 제거를 할 경우 설치 파일 단계에서 같이 설치된 QuickDownloadService 관련 항목은 삭제가 이루어지지 않습니다.
실제로 제어판에서는 추가적인 삭제 항목 [QuickDownloadService]를 분리하여 구성하여 설치와는 다르게 따로 삭제를 해주어야 합니다.

만약 파일 공유 프로그램만을 삭제하고 해당 서비스를 그대로 둘 경우는 다음과 같은 현상을 계속적으로 겪을 수 있습니다.

(1) 윈도우 시스템 시작과 함께 QuickDownloadService로 3개의 프로세스 동작에 따른 불필요한 리소스 낭비
(2) qdownservice.exe 프로세스의 특정 포트(Port) 오픈을 통한 네트워크 연결 유지
(3) qdownagent.exe 프로세스의 불필요한 I/O 동작

위와 같은 내용을 한 마디로 줄이면 실제 사용도 하지 않는 그리드 방식의 프로그램이 윈도우 시스템 시작과 함께 동작하면서 사용자의 인터넷 자원을 먹을 수 있다는 의미일 수 있습니다.

많은 인터넷 사용자들이 공유를 위해 웹하드 서비스 등을 이용하면서 자신도 모르게 해당 서비스를 설치되는 환경에서 최소한 해당 서비스를 이용하지 않을 경우에는 반드시 제어판에서 해당 QuickDownloadService 항목을 찾아 삭제를 하시기 바랍니다.

 

반응형
  • 공용 컴퓨터에 웹하드 같은 프로그램이 설치되어 있으면 이 글에 적힌 것 때문에 프로그램을 삭제해왔는데요.
    프로그램을 삭제해도 남는다면 큰 문제군요.

    • 이 내용의 핵심은 설치할 때에는 하나에서 분리되면서 삭제시에는 제각각 삭제하도록 구성하여 실제 사용자가 공유 프로그램만 삭제를 하지 그리드 방식의 프로그램은 삭제를 하지 않게 만드는 점이 문제겠죠~

  • 고냥이 2009.06.19 14:57 댓글주소 수정/삭제 댓글쓰기

    윈도우 방화벽에도 자동으로 예외처리 되있습니다...ㅠ

  • 방화벽까지... 요 넘들 강력한데요... 진정한 악성코드의 교과서군요.

  • 윈도 방화벽이야 사용자 권한을 갖고 실행시키면 레지스트리 추가로 그냥 우회가 가능하니 이런 경우 있으나 마나죠.

  • 고냥이 2009.06.20 02:30 댓글주소 수정/삭제 댓글쓰기

    F모 사이트는......이벤트온이라는..프로그램도 같이 설치하더군요...쿨럭..

  • 무료만 찾다보면 어떤식으로도 낭패를 당할 수 있다는 것을 항상 염두에 두어야 하겠지만, 컴퓨터 초보분들은 거의 무방비로 당하는 것 같습니다.
    그런데 QuickDownloadService는 serives 항목에 제대로 안보이는 모양인가 보군요. 저는 Autoruns로만 봐서 제대로 나타나는 줄 알았습니다만.. 혹 Sandboxie의 환경이라서 그런지도 모르겠군요...

    • 맙습니다. 오토런에서는 정상적으로 보이는데, 제어판에서 확인해보니 저렇게 나오더군요.

      테스트 환경 때문일 수 있을 것 같습니다.

  • 전 어쩌다 사용할 필요가 있어 사용하게 되면... 이후 밀어 버립니다... 복구툴로 ...속편하게 밀어 버리곤 합니다.

    또한,, 컴이 2대라...주로 사용하는 컴은 아에 저런 것은 깔지도 않지만... 깔리면 귀찮아도 밀어버리는 센스를 보이고 있음...

    왜냐면요 ... 흔적도 남기기 싫어서 싫어서.ㅋ

  • 유용한 정보 2009.07.03 06:14 댓글주소 수정/삭제 댓글쓰기

    감사드려요 ^^

  • 비밀댓글입니다

    • 감사합니다.

      넷리미트는 실제 사용해보지 않아서 모르겠지만, 제가 아는 상식에서는 단순히 업로드 패킷을 제한하는 것으로 알고 있습니다.

      여기서 소개한 프로그램은 업로드 문제 뿐만 아니라 서비스 등록과 시작 프로그램으로 프로세스 등록으로 인한 시스템 자원 낭비쪽도 고려한다면 실제 이용하지 않는 사용자가 해당 프로그램을 설치하여 자원을 낭비하고 자신도 모르게 인터넷 자원이 외부에서 활용되는 경우를 예방하자는 차원으로 보시면 될 것 같습니다.

  • why 2009.07.04 07:05 댓글주소 수정/삭제 댓글쓰기

    답변 잘 봤습니다.
    그런데 하나 추가로 질문드리고 싶은데, 저 프로세스는 어떤 프로그램 설치하면 뜨는 건가요?
    저도 p2p라던가 여러개 설치했지만 저런 프로세스는 본 적이 없는데요.

    그리고 본문과는 상관없는 내용인데 스파이웨어/악성코드 제거 프로그램 같은 거 추천 좀 해주실 수 없을까요?
    요근래는 대체 뭘써야 되는지 잘 모르겠어서..

    • MS에서 제공하는 Process Explorer라는 도구입니다.

      웹에서 검색하시면 쉽게 찾을 수 있습니다.

      악성코드 치료 프로그램은 개인적으로 특정 분야(스파이웨어/애드웨어)만을 진단하는 제품보다는 전체적으로 진단하는 통합제품이 더 잘 진단한다고 생각합니다.

      단지 국내의 법적인 규정 문제로 국내에서 유포되는 일부 파일에 대해 국내 보안제품이 진단하지 않는 부분이 있는 단점도 있고, 해외 제품이 잘 잡는데 막상 오진하는 부분도 있고 참 애매합니다. 이런 부분은 사용자의 판단이 중요하다고 생각하고 그런 판단에는 문제의 프로그램에 대한 이해가 바탕이 되어야겠죠.

      아무틋 국내에서는 안랩 V3 / 하우리쪽이 추천할만하고, 해외는 카스퍼스키, AntiVir, Symantec 제품쪽이 우수해 보입니다.

      워낙 일반적으로 알려진 제품들이 많다보니 잘 알려진 제품들은 각각의 장단점이 있기에 중요한 것은 사용자 컴퓨터 환경과 사용자의 프로그램 설치 습관 및 인터넷 이용 습관도 꽤 중요하다고 봅니다.

  • 저건... 2009.07.04 18:35 댓글주소 수정/삭제 댓글쓰기

    음... 저건 Regsvr로 지우니까 어느정도는 저 DLL이 가진 동작을 방해 할수 있더군요.

    Unlocker로 확인하니까 어느프로세스가 잠겨있는지 확인이 되네요...

    저런것 쓰는 파머시기 게시판형 P2P에서 설치가 되던...

    밀고 삭제하고 다시 설치라는 반복되는 과정이 귀찮아서

    걍 Hypervisor류의 프로그램을 쓰는것이 편하던...

  • 잘보고있어요 2011.05.19 12:59 댓글주소 수정/삭제 댓글쓰기

    죄송한데...프로그램추가삭제에서 제거가 안돼네요..QuickDown....이거요
    여튼 계속 치료중입니다..아고!!

  • 흠.. 2013.04.14 23:53 댓글주소 수정/삭제 댓글쓰기

    파일공유 자주 사용하는 편이지만.
    항상 작업관리자에 생성되는 다운로더 서비스나 넷액셀러레이터가 왜 생긴건지 몰랐는데
    덕분에 잘 알고 갑니다.

    파일공유 서비스 설치시 거의 저런 그리드가 함께 설치 되는거라고 보면되는건가요 ?
    그리드 작동원리가 궁금해지네요 어떻게 서버과부하를 줄이고 클라이언트의 인터넷회선을 써먹는건지ㅋ

    덕분에 왠지 익스플로러가 가벼워진 기분입니다. 감사합니다. (_ _꾸벅