본문 바로가기

벌새::Analysis

사용자 몰래 프로그램을 설치하는 국내 온라인 음악 플레이어 : oiule2

728x90
반응형
국내 온라인 음악 플레이어 프로그램을 설치한 사용자의 컴퓨터에 사용자 몰래 추가적인 프로그램을 설치하는 것을 확인하였습니다.

해당 음악 플레이어는 이미 예전에 프로그램 삭제와 관련된 많은 인터넷 상의 문의가 있어서 작성을 하였으며, 최근 확인한 프로그램의 경우 업데이트를 통해 많이 변경된 것을 확인할 수 있었습니다.

차후 해당 프로그램의 삭제와 관련하여 재정리를 할 예정이며, 이번 시간에는 사용자 몰래 설치되는 프로그램에 대해서만 살펴보도록 하겠습니다.(글 내용에서 온라인 음악 플레이어의 명칭은 공개하지 않습니다.)


해당 프로그램의 설치 과정에서는 제휴(스폰서) 프로그램으로 4개가 추가되어 있으며, 설치시 해당 프로그램을 체크 해제한 상태로 설치를 하였습니다.

참고로 개인정보 보안 솔루션, 악성코드 치료 프로그램은 해당 업체에서 서비스하는 제품이며, 이 글에서는 제휴 프로그램과는 관련이 없습니다.

생성 폴더, 파일 정보


초기 음악 플레이어가 설치된 환경은 프로그램 폴더 내의 [OOPlayer] 폴더와 Windows 시스템 폴더 내의 파일로 구성되어 있습니다.

이렇게 설치된 환경에서 사용자가 Internet Explorer를 실행하여 국내 검색 사이트에서 검색을 시도시 사용자 몰래 [%Temp%\a[Random 숫자].exe] 파일을 다운로드하여 프로그램 폴더 내에 [oiule2] 폴더 생성 및 파일 생성을 하는 것을 확인할 수 있습니다.

[a[Random 숫자].exe 파일을 통한 oiule2.dll 파일 다운로드 정보]

Http: Request, GET /oiule2/bhon/oiule2.dll
Command: GET
URI: /oiule2/bhon/oiule2.dll
ProtocolVersion: HTTP/1.1
ContentType:  text/html
Host:  down.overtl2.com
Accept:  text/html, */*
UserAgent:  Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF



이렇게 설치된 프로그램은 화면상으로 설치된 것을 사용자가 인지할 수 없으며, 프로그램 실행 자체가 Internet Explorer를 통해 사용자가 검색을 할 경우 iexplore.exe 프로세스에 oiule2.dll 파일을 BHO 방식으로 추가하여 동작을 하는 것을 확인할 수 있습니다.

원래 해당 음악 플레이어 자체가 BHO 방식으로 등록한 파일이 3개가 존재하며, 추가적으로 사용자 몰래 설치되는 oiule2 프로그램 역시 사용자의 웹 브라우저에서 동작하여 추천 사이트 등의 광고 행위 등에 이용될 여지가 있습니다.

실제 다운로드 서버는 웹 브라우저 상으로 접속시 존재하지 않는 것으로 구성되어 있지만, 해당 IP 대역에서는 각종 툴바(Toolbar) 관련 프로그램을 배포하는 곳으로 알려져 있습니다.


프로그램의 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [oiule2 Uninstall] 삭제 항목을 이용하여 삭제하시기 바랍니다.

하지만 근본적으로 해당 프로그램이 재설치되는 것을 예방하기 위해서는 음악 플레이어 자체를 삭제하시는 것이 안전합니다.

[oiule2 프로그램 생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{CC01FC6C-C075-4D12-B37C-80EBDE012D2C}
HKEY_CLASSES_ROOT\oiule2.osoftl2
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-C075-4D12-B37C-80EBDE012D2C}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\oiule2 Uninstall

728x90
반응형