본문 바로가기

벌새::Analysis

메가파일(Megafile) 스폰서 광고 분석

반응형
(주)케이티에스 컨텐츠 업체에서 서비스하는 국내 파일 공유 사이트 메가파일(Megafile)을 이용할 경우 설치되는 스폰서 광고에 대해 살펴보도록 하겠습니다.

테스트를 위해 해당 업체에서 제공하는 ActiveX 수동 설치 파일을 이용하여 설치하였으며, 기본적으로 일반 사용자의 경우에는 ActiveX 방식으로 설치되었으리라 생각됩니다.
MD5 : 0762d4e525a684deb022de708e19c4a6
현재 수동 설치 파일의 경우 해외 보안제품 일부에서 휴리스틱 진단을 통해 국내 무료 보안제품 알약에서 진단한다는 글을 확인할 수 있었습니다.
초기 설치 과정에서 살펴보면 제작사 홈페이지의 이용약관과 동일한 내용으로 구성되어 있지만, 프로그램의 이용약관 하단에는 [소프트웨어(툴바 & 사이드바) 사용자 약관]이라는 추가적인 내용이 포함되어 있습니다. 해당 추가된 내용은 제작사 홈페이지 이용약관에서는 찾을 수 없는 내용입니다.

특히 추가된 소프트웨어 약관은 매우 긴 이용약관의 하단에 위치하여 실제 사용자가 해당 부분을 쉽게 확인하기는 어려워 보입니다.

[소프트웨어(툴바 & 사이드바) 사용자 약관]

SideGreen: 인터넷 브라우저를 이용하여 또는 특정 검색엔진을 이용하여 검색을 하는 중에, 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바의 검색엔진 도구를 사용하여, 사용자의 효율적인 검색 작업을 돕는 프로그램 입니다.

제 8조 [별도의 소프트웨어의 제공]
① "사용자의 PC에 피해를 끼치는 컴퓨터 바이러스 등의 악성 프로그램이 아닌, 상업적 용도의 프로그램(툴바,주소창 한글 검색 도우미, 악성 코드 치료프로그램,바이러스 치료 프로그램 등)" 이나 기타 회사가 서비스 향상을 위해 필요하다고 판단되는 프로그램들을 필요에 따라 임의의 파일이 사용자의 컴퓨터에 설치될 수 있으며, 설치 전 사용자의 동의를 추가로 구하지 않고 이내용은 사용자가 약관동의를 함으로써 갈음합니다.

해당 약관의 내용을 살펴보면 추가적으로 설치되는 SideGreen 검색 도우미에 대한 안내를 하고 있으며, 추가적으로 다른 다양한 광고 프로그램이 설치될 수 있다고 언급하면서 해당 프로그램들은 초기 사용자가 약관에 동의한 것을 바탕으로 설치시 추가적인 동의를 받지 않고 설치한다고 되어 있습니다.
특히 설치 다음 단계에서 해당 프로그램 설치로 설치되는 프로그램 목록에서는 파일 공유 서비스를 위한 메가파일 외에는 마치 아무것도 설치되지 않는 것처럼 부정확한 정보를 제공하고 있습니다.

실제 이용약관에서 밝히고 있는 SideGreen 프로그램에 대한 부분도 표시하지 않고 있습니다.

메가파일 프로그램 자체의 기본 설치 경로는 윈도우 시스템 폴더 내부에 위치하여 실제 사용자가 해당 폴더 내의 복잡한 파일 구성으로 확인할 방법이 없도록 하였으며, 실제 SideGreen과 같은 스폰서 광고 프로그램이 설치되는 프로그램 폴더(%Program Files%)가 아닌 곳에 설치하여 사용자가 프로그램 폴더에 대해서는 인지하지 못하게 하는 부분도 있다고 판단됩니다.
초기 메가파일 동작 프로그램을 먼저 시스템 폴더 내에 설치한 후, 임시폴더(%Temp%)에 생성된 InfoWiseBarUpdate1008.exe / sidegreen_07_5.exe 파일이 특정 서버에 각각 접속하여 추가적인 광고 프로그램을 다운로드하여 사용자가 인지 못하는 사이에 설치를 진행합니다.

메가파일의 경우에는 프로그램 목록에 제품 삭제 아이콘을 생성하지만, 실제 제어판의 삭제 목록에는 존재하지 않으며, 프로그램 목록에는 추가적으로 설치된 각종 광고 프로그램에 대한 목록은 제공하지 않으므로 사용자는 자신의 컴퓨터에 얼마나 많은 광고 프로그램이 설치되는지 인지하지 못할 수 있습니다.

그리고 이용약관을 확인하였다 하여도 SideGreen 제품 외에 무엇이 설치되었는지 알 수가 없습니다.
생성 폴더, 파일 정보
테스트에서 설치된 정보를 보시면 윈도우 시스템 폴더에는 메가파일 관련 파일이 설치가 되어 있으며, 프로그램 폴더 내에는 이용약관에서 밝히고 있는 사이드그린(SideGreen) 이외에 배포자를 알 수 없는 InfoWiseBar 폴더와 하위 폴더에 InfoWay 프로그램이 설치된 것을 확인할 수 있습니다.
프로세스 정보
초기 설치 후 생성된 프로세스 정보를 살펴보면, 임시폴더에 생성된 InfoWiseBarUpdate1008.exe 프로세스는 InfoWiseBar 관련 프로그램의 업데이트를 담당하며 그 외에 InfoWay.exe / SideGreen.exe(Update 담당) 프로세스가 동작하고 있는 것을 확인할 수 있습니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - InfoWay = C:\Program Files\InfoWiseBar\InfoWay\InfoWay.exe
 - InfoWiseBar = C:\Program Files\InfoWiseBar\InfoWiseBar.exe
 - SideGreen = C:\Program Files\SideGreen\SideGreen.exe

이렇게 설치된 광고 프로그램들은 윈도우가 시작시 자동으로 실행되도록 등록이 되어 있습니다.

[BHO 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6B6DF2FE-EB67-4422-8A82-95658B33DEEA}
 - InfoWayWndCtl Class = C:\Program Files\InfoWiseBar\InfoWay\InfoWayWnd.dll
※ HKEY_CLASSES_ROOT\CLSID\{6B6DF2FE-EB67-4422-8A82-95658B33DEEA}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{70D3BE02-1283-4DDC-B0AD-87D46C027314}
 - SGHelperCtl Class = C:\Program Files\SideGreen\SGHelper.dll
※ HKEY_CLASSES_ROOT\CLSID\{70D3BE02-1283-4DDC-B0AD-87D46C027314}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71C19CF5-F074-4C50-8EB3-A1E23FB7757E}
 - WiseBarHelper Class = C:\Program Files\InfoWiseBar\InfoWiseBar.dll
※ HKEY_CLASSES_ROOT\CLSID\{71C19CF5-F074-4C50-8EB3-A1E23FB7757E}

또한 Internet Explorer에 BHO를 등록하여 인터넷을 통한 검색 등을 이용할 경우 사용자가 원치않는 광고를 출력하고 있습니다.

붉은색 레지스트리 항목은 광고 프로그램을 삭제 후에도 일부 지워지지 않는 항목으로 등록이 되어 있는 문제가 있으므로 반드시 수동으로 삭제하시기 바랍니다.
예를 들어, 정상적인 사용자가 컴퓨터 환경에서 해당 광고 프로그램이 설치되기 전에는 구글(Google) 검색을 통해 특정 사이트를 열 경우, 위와 같이 동일한 창에서 탭(Tab) 방식으로 열리도록 설정되어 있습니다.
하지만 광고 프로그램이 설치가 되면, 동일한 검색을 할 경우 검색 결과의 특정 링크를 클릭하면 탭 방식이 아닌 새로운 창이 열리도록 설정이 변경되며, 좌측에는 추천 사이트 광고가 자동으로 추가가 되도록 설정되어 있습니다.

특히 해당 추천 사이트를 클릭할 경우 오버추어(Overture) 광고 방식으로 익명의 누군가에게 금전적 혜택이 돌아가는 것으로 추정됩니다.
설치된 광고 프로그램은 제어판의 [InfoWiseBar], [SideGreen] 삭제 항목을 통해 삭제할 수 있지만, 실제 사용자가 해당 광고가 어떤 프로그램으로 인해 설치가 되었는지 여부나 유심히 살펴보지 않으면 존재 여부를 확인하기 어렵다고 판단됩니다.

프로그램의 삭제시에는 반드시 작업 관리자를 통하여 해당 광고 프로그램으로 동작하는 프로세스를 모두 종료한 후에 삭제하시길 바라며, Internet Explorer를 반드시 종료하시고 삭제를 하셔야 합니다.

또한 삭제 후에도 BHO 등록 정보가 제대로 삭제되지 않을 수 있으므로 위에 언급한 레지스트리 정보를 토대로 수동으로 확인하여 삭제하시기 바랍니다.

[수동 삭제 폴더/파일 정보]

C:\Program Files\InfoWiseBar
C:\Program Files\SideGreen
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\InfoWiseBarUpdate1008.exe
C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\sidegreen_07_5.exe

[수동 삭제 레지스트리 정보]

HKEY_CLASSES_ROOT\CLSID\{6B6DF2FE-EB67-4422-8A82-95658B33DEEA}
HKEY_CLASSES_ROOT\CLSID\{70D3BE02-1283-4DDC-B0AD-87D46C027314}
HKEY_CLASSES_ROOT\CLSID\{71C19CF5-F074-4C50-8EB3-A1E23FB7757E}

이용약관에 포괄적인 프로그램 설치에 대한 1회성 동의는 추후 설치되는 프로그램에 대한 사용자 선택에 대한 권리를 빼앗는 것이므로 이런 부분은 문제가 있다고 생각합니다.
728x90
반응형
  • 비밀댓글입니다

  • 우주최강 2009.07.16 15:35 댓글주소 수정/삭제 댓글쓰기

    저 그 trojan/win32/BHO 걸려서 고생중인데 이거
    제가 경로 추적해서 그거 지우려는데 하위폴더에 뭐가있다면서 지울수 없다고 하는데 이거 어떻하나요ㅠㅠ
    스파이웨어라고 뜨던데요 제 백신에서
    그럼 혹시 메가파일이 바이러스를 유포한건가요?
    지금 집에서 계속 바이러스랑 싸우는중인데 ㅠㅠ
    어떻하죠 치료방법좀 메일로 보내주세요!
    yocodongco@naver.com 이에요

    • 진단명을 보면 BHO라고 나오는 것을 봐서 IE 동작에 따라 특정 행위를 하는 것으로 보입니다.

      해당 악성코드가 무엇인지는 알 수 없지만 보안제품에서 진단을 한다면 보안제품으로 치료하시기 바랍니다.

      그리고 무엇에 감염되었는지는 모르지만, 제가 작성한 글은 하나의 예일 뿐입니다. 아마 다른 경로를 통해 설치되었을 수 있으므로 사용하시는 보안제품을 신뢰하시는게 옳은 것 같습니다.

      참고로 치료시에는 반드시 모든 프로그램을 종료하시고 치료하세요.

  • P-bird 2009.12.17 22:31 댓글주소 수정/삭제 댓글쓰기

    유용한 정보 정말 감사합니다. 갑자기 이상한 광고탭이 뜨길래 정보 검색하다 이렇게 자세히 소개해주신 글을 본 덕분에 어떻게 된건지 알고 잘 대처할수 있었네요. 여러모로 상세히 설명해주셔서 정말 도움이 되었습니다.

  • 감사합니다. 덕분에 잘지웠습니다^^ 어느날부턴가 이런게 왜 뜨지?하면서 그냥 닫았었는데 이런 이유때문이었다니..정말 문제가 있는 것 같네요..법이 인터넷 현실을 빨리 따라가서 피해보는 사람이 줄어들었으면 하는 바람입니다..여하튼 ㄳㄳ ^^

  • gkgk 2011.06.01 01:21 댓글주소 수정/삭제 댓글쓰기

    메가파일을사용했었는데
    메가파일다운로더나 사이드그린
    삭제방법을 아직 잘모르곘는데
    어디서 그프로그램을 찾을수있는건가요?ㅠㅠ

    • 안녕하세요.

      사이드그린은 종류가 좀 있습니다.

      원래 최초에 나온 것은 http://hummingbird.tistory.com/1661 해당 게시글을 참고하시기 바랍니다.

      메가 파일 다운로드 관련해서는 다시 확인을 해보겠습니다.

      이 게시글이 오래된 게시글이라서 지금은 변경되었을 수 있습니다.