반응형
국내 웹 사이트에 공개 자료실 형태로 운영되는 코리아 인터넷 업체에서 배포하는 유틸팩(Utilpack) 서비스 프로그램에 대해 살펴보도록 하겠습니다.
특히 공개 자료실의 등록 프로그램에 대한 리뷰의 경우 심파일에서 제공하는 내용을 그대로 사용하여 저작권 침해를 하고 있는 것으로 추정됩니다.
현재 생성 파일 전체를 국내 보안제품에서 악성코드로 진단하고 있는 것을 확인할 수 있습니다.
기본적으로 유틸팩이 설치된 환경에서는 시작과 함께 시작 프로그램에 등록된 코드마스터, 유틸팩이 동작하며 윈도우 시스템 폴더 내에 몰래 설치된 hrympou.exe 파일이 추가적으로 동작하는 것을 확인할 수 있습니다.
BHO 등록을 통하여 Internet Explorer가 동작시 자동으로 코드마스터와 유틸 가이드가 동작하도록 구성되어 있습니다. 이는 인터넷 사용시 광고 생성, 자동 연결 등의 동작을 취할 것으로 보입니다.
그러므로 삭제는 보안제품을 통해 시스템 전체 검사를 통한 삭제를 하시기를 추천해 드립니다.
가장 큰 이유는 제어판을 통한 삭제 후에도 시작 프로그램에 등록되어 있는 C:\WINDOWS\system32\hrympou.exe 파일이 존재하며, 시작 프로그램 등록 레지스트리 역시 삭제가 되지 않는 것을 확인하였습니다.
이는 삭제 후 윈도우 재시작시 다시 해당 파일이 동작하면서 추가적인 다운로드를 통해 광고 프로그램이 계속적으로 설치될 위험성이 존재합니다.
만약 수동으로 제어판을 통한 삭제 후에는 추가적으로 삭제할 항목은 다음과 같습니다.
공개 자료실의 경우 프로그램 다운로드를 위한 ActiveX 방식으로 제공하는 경우가 있는데, 일반적으로 이어받기, 고속 다운로드를 목적으로 만들어진 것이 일반적이지만, 자료실 운영을 위한 추가적인 광고 프로그램 설치를 동반할 수 있습니다.
그러므로 이런 것을 원치않는다면 반드시 프로그램은 해당 제작사 홈페이지를 이용하는 것이 가장 안전한 방법입니다. 또한 설치시 이용약관 등을 통해 추가적으로 설치되는 부분에 대해 반드시 숙지하는 습관도 필요합니다.
특히 공개 자료실의 등록 프로그램에 대한 리뷰의 경우 심파일에서 제공하는 내용을 그대로 사용하여 저작권 침해를 하고 있는 것으로 추정됩니다.
[생성 파일 진단 정보]
C:\Program Files\code2master\cm2004.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Program Files\code2master\codemaster.exe (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\code2master\codemasterUpdater.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Program Files\code2master\MCBlock.dll (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\code2master\MCClean.dll (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\utilguides\uninstall.exe (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilguides\utilguide.dli (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilguides\utilguide.ugd (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilpack\uninstall.exe (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\Program Files\utilpack\utilpack.exe (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\WINDOWS\Downloaded Program Files\launchutilpack.dll (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\WINDOWS\System32\mrwxap.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\codemaster_sense_Setup.exe (AhnLab Smart Defense : Dropper/Win32.Rogue)
C:\Documents and Settings\[사용자 계정]\Local Settings\Tem\pinstall_ugd11.exe (AhnLab Smart Defense : Downloader/Win32.UtilGuide)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\utilrun.exe (AhnLab Smart Defense : Downloader/Win32.UtilPack)
C:\Program Files\code2master\cm2004.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Program Files\code2master\codemaster.exe (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\code2master\codemasterUpdater.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Program Files\code2master\MCBlock.dll (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\code2master\MCClean.dll (AhnLab Smart Defense : Adware/Win32.Rogue)
C:\Program Files\utilguides\uninstall.exe (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilguides\utilguide.dli (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilguides\utilguide.ugd (AhnLab Smart Defense : Adware/Win32.UtilGuide)
C:\Program Files\utilpack\uninstall.exe (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\Program Files\utilpack\utilpack.exe (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\WINDOWS\Downloaded Program Files\launchutilpack.dll (AhnLab Smart Defense : Adware/Win32.UtilPack)
C:\WINDOWS\System32\mrwxap.exe (AhnLab Smart Defense : Downloader/Win32.Rogue)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\codemaster_sense_Setup.exe (AhnLab Smart Defense : Dropper/Win32.Rogue)
C:\Documents and Settings\[사용자 계정]\Local Settings\Tem\pinstall_ugd11.exe (AhnLab Smart Defense : Downloader/Win32.UtilGuide)
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\utilrun.exe (AhnLab Smart Defense : Downloader/Win32.UtilPack)
현재 생성 파일 전체를 국내 보안제품에서 악성코드로 진단하고 있는 것을 확인할 수 있습니다.
[시작 프로그램 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- code2master = "C:\Program Files\code2master\codemasterUpdater.exe"
- hrympou = C:\WINDOWS\system32\hrympou.exe
- utilpack = C:\Program Files\utilpack\utilpack.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- code2master = "C:\Program Files\code2master\codemasterUpdater.exe"
- hrympou = C:\WINDOWS\system32\hrympou.exe
- utilpack = C:\Program Files\utilpack\utilpack.exe
기본적으로 유틸팩이 설치된 환경에서는 시작과 함께 시작 프로그램에 등록된 코드마스터, 유틸팩이 동작하며 윈도우 시스템 폴더 내에 몰래 설치된 hrympou.exe 파일이 추가적으로 동작하는 것을 확인할 수 있습니다.
[BHO 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5F9F5811-2706-41a2-87F7-5CFA34EA75A1}
- SSBHO = C:\Program Files\code2master\MCBlock.dll
※ HKEY_CLASSES_ROOT\CLSID\{5F9F5811-2706-41a2-87F7-5CFA34EA75A1}
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19EA4A41-024B-4B97-ADF1-053C12183D9A}
- C:\Program Files\utilguides\utilguide.dli
※ HKEY_CLASSES_ROOT\CLSID\{19EA4A41-024B-4B97-ADF1-053C12183D9A}
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5F9F5811-2706-41a2-87F7-5CFA34EA75A1}
- SSBHO = C:\Program Files\code2master\MCBlock.dll
※ HKEY_CLASSES_ROOT\CLSID\{5F9F5811-2706-41a2-87F7-5CFA34EA75A1}
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{19EA4A41-024B-4B97-ADF1-053C12183D9A}
- C:\Program Files\utilguides\utilguide.dli
※ HKEY_CLASSES_ROOT\CLSID\{19EA4A41-024B-4B97-ADF1-053C12183D9A}
BHO 등록을 통하여 Internet Explorer가 동작시 자동으로 코드마스터와 유틸 가이드가 동작하도록 구성되어 있습니다. 이는 인터넷 사용시 광고 생성, 자동 연결 등의 동작을 취할 것으로 보입니다.
그러므로 삭제는 보안제품을 통해 시스템 전체 검사를 통한 삭제를 하시기를 추천해 드립니다.
가장 큰 이유는 제어판을 통한 삭제 후에도 시작 프로그램에 등록되어 있는 C:\WINDOWS\system32\hrympou.exe 파일이 존재하며, 시작 프로그램 등록 레지스트리 역시 삭제가 되지 않는 것을 확인하였습니다.
이는 삭제 후 윈도우 재시작시 다시 해당 파일이 동작하면서 추가적인 다운로드를 통해 광고 프로그램이 계속적으로 설치될 위험성이 존재합니다.
만약 수동으로 제어판을 통한 삭제 후에는 추가적으로 삭제할 항목은 다음과 같습니다.
[추가 삭제 폴더, 파일 정보]
C:\Program Files\utilpack
C:\WINDOWS\Downloaded Program Files\launchutilpack.inf
C:\WINDOWS\System32\mrwxap.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\codemaster_sense_Setup.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Tem\pinstall_ugd11.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\utilrun.exe
[추가 삭제 레지스트리 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- hrympou = C:\WINDOWS\system32\hrympou.exe
C:\Program Files\utilpack
C:\WINDOWS\Downloaded Program Files\launchutilpack.inf
C:\WINDOWS\System32\mrwxap.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\codemaster_sense_Setup.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Tem\pinstall_ugd11.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\utilrun.exe
[추가 삭제 레지스트리 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- hrympou = C:\WINDOWS\system32\hrympou.exe
공개 자료실의 경우 프로그램 다운로드를 위한 ActiveX 방식으로 제공하는 경우가 있는데, 일반적으로 이어받기, 고속 다운로드를 목적으로 만들어진 것이 일반적이지만, 자료실 운영을 위한 추가적인 광고 프로그램 설치를 동반할 수 있습니다.
그러므로 이런 것을 원치않는다면 반드시 프로그램은 해당 제작사 홈페이지를 이용하는 것이 가장 안전한 방법입니다. 또한 설치시 이용약관 등을 통해 추가적으로 설치되는 부분에 대해 반드시 숙지하는 습관도 필요합니다.
728x90
반응형