악성코드 치료 프로그램 : 바이클린(ByeClean)

국내 에스티엘솔루션 업체에서 서비스하는 유료 악성코드 치료 프로그램 바이클린(ByeClean) 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 24dabb2e2170ebba4a9a24f7aa79b9ec)에 대하여 Kaspersky 보안 제품에서는 Trojan-Downloader.Win32.FraudLoad.xebe (VirusTotal : 12/41) 진단명으로 진단을 하고 있으며, 실제 프로그램을 설치할 경우 추가적인 다수의 프로그램이 사용자 몰래 설치되는 것을 확인할 수 있습니다.

여기에서는 바이클린 프로그램을 중심으로 정리를 하였으며, 추가적인 프로그램에 대하여는 차후 정보가 확인되는대로 공개하도록 하겠습니다.

[테스트 환경]

● OS : Windows XP SP3
● 설치 프로그램 : Setup 설치 파일 (MD5 : 24dabb2e2170ebba4a9a24f7aa79b9ec)

※ 해당 프로그램은 배포 방식에 따라 파일 구성 및 정보가 다를 수 있습니다.
※ 해당 내용은 게시글 작성 일자 기준이므로 실제와 다를 수 있습니다.
※ 해당 내용은 컴퓨터 환경에 따라 결과가 다를 수 있습니다.

 

1. 프로그램 설치 / 삭제 정보

 

 

1-1. 생성 폴더 / 파일 정보

[생성 파일 진단 정보]

C:\Program Files\servicellock\servicellock.exe (AhnLab V3 : Downloader/Win32.Servicellock)
C:\WINDOWS\system32\neypol.dll (AhnLab V3 : Adware/Win32.Olivesoft)
C:\WINDOWS\system32\win58E251.dll/winc3cls.dll (Sophos : Mal/BHO-J)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 6자리 숫자)amp (AhnLab V3 : Trojan/Win32.Overtls)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\servicellock.exe (AhnLab V3 : Downloader/Win32.Servicellock)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\tmp(Random 3자리 영문+숫자).tmp (AhnLab V3 : Trojan/Win32.Overtls)

해당 프로그램은 악성코드 치료 프로그램 바이클린(ByeClean) 이외에 검색 도우미 Keyword Search, 정체를 알 수 없는 servicellock, 서비스 항목으로 등록되는 neypol, BHO 방식으로 등록되는 winc3cls(win58E251) 등의 프로그램(파일)이 설치되는 것을 확인할 수 있습니다.

• 검색 도우미 : Keyword Search

참고로 Keyword Search는 기존에 살펴본 프로그램과 비교시 동작 방식은 동일하지만, 파일(레지스트리) 구성이 다른 변종으로 추정됩니다.

설치된 바이클린 프로그램은 Windows 시작시 ByeCleanUp.exe / launcher.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

하지만 설치 후 바로 실행되는 것이 아니라 시스템 재시작시 자동 실행되어 초기에 어떤 경로를 통해 설치되었는지 여부를 사용자가 인지하기 어려울 수 있습니다.

실행된 프로그램은 악성코드 검사를 진행하며, 검사 중에 사용자에 의한 검사 중지 및 프로그램 종료가 불가능하므로 정상적인 컴퓨터 이용에 불편을 줄 수 있습니다.

1-2. 레지스트리 생성 정보

 

[생성 레지스트리 등록 정보 : 바이클린(ByeClean)]

HKEY_CURRENT_USER\Software\ByeClean
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ByeClean = "C:\Program Files\ByeClean\launcher.exe" "C:\Program Files\ByeClean\ByeCleanUp.exe" /first
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ByeClean

[생성 레지스트리 등록 정보 : Keyword Search]

HKEY_CLASSES_ROOT\AppID\torangcomz.DLL
HKEY_CLASSES_ROOT\AppID\{610EBFCC-8014-4224-8789-FA7E8E705569}
HKEY_CLASSES_ROOT\CLSID\{31A0D938-3055-46BA-8919-59E44E0D7E51}
HKEY_CLASSES_ROOT\CLSID\{E5C7860B-FC70-4634-ACAB-C70DF2F5292A}
HKEY_CLASSES_ROOT\Interface\{56629120-4142-4A6F-8477-D0BB63F64838}
HKEY_CLASSES_ROOT\Interface\{F40A6CB2-4096-4343-BB1E-5AC8763338FA}
HKEY_CLASSES_ROOT\torangcomz.TorangBand
HKEY_CLASSES_ROOT\torangcomz.TorangBand.1
HKEY_CLASSES_ROOT\torangcomz.torangcomz
HKEY_CLASSES_ROOT\torangcomz.torangcomz.1
HKEY_CLASSES_ROOT\TypeLib\{5AA0041F-B508-4A51-85C7-B59FBCA8C750}
HKEY_CURRENT_USER\Software\Keyword Search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{31A0D938-3055-46BA-8919-59E44E0D7E51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Keyword Search

[생성 레지스트리 등록 정보 : winc3cls.dll(win58E251.dll)]

HKEY_CLASSES_ROOT\CLSID\{7476DBD6-CBBE-452E-B8D0-ED0FCAD60855}
HKEY_CLASSES_ROOT\winc3cls.winclss10a0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7476DBD6-CBBE-452E-B8D0-ED0FCAD60855}

[생성 레지스트리 등록 정보 : servicellock]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - servicellock = C:\Program Files\servicellock\servicellock.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1
HKEY_LOCAL_MACHINE\SOFTWARE\servicellock

[생성 레지스트리 등록 정보 : neypol.dll]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Neypol

1-3. 프로세스 정보

바이클린 프로그램이 실행되면 ByeClean.exe 프로세스가 생성되는 것을 확인할 수 있습니다.

해당 프로그램은 검사 중에 검사 중지 및 프로그램 종료가 불가능하므로, 작업 관리자에서 해당 프로세스를 수동으로 종료하여 문제를 해결하시기 바랍니다.

1-4. 관련 URL 정보

h**p://www.bye*****.com/count/install.php?mac=(사용자 Mac Address)&partner=ByeCleanP0&ver=
h**p://windows-***.co.kr/count/insert.php?pid=servicellock&kind=1
h**p://www.micro******.net/web/counter/install.check.php?in_pid=servicellock&in_mac=(사용자 Mac Address)
h**p://down.pink****.org/download/servi/sin/neypol.exe
h**p://windows-***.co.kr/module/servicellock/upgrade.php
h**p://windows-***.co.kr/count/insert.php?pid=servicellock&kind=4
h**p://olive****.net/counter/insert.php?dbserver=db1&c_pcode=100&c_pid=neypol&c_kind=1&c_mac=(사용자 Mac Address)
h**p://down.torang****.com/down/setup_humoruniv_m.exe
h**p://torang****.com/instinfo.php
h**p://down.torang****.com/down/1.0.0.3/torangcomz.dll
h**p://downc3.win*******.com/setup.exe
h**p://torang****.com/app_install.php?mac=(사용자 Mac Address)&ver=1.0.0.3&pid=humoruniv
h**p://www.bye*****.com/count/uninstall.php?mac=(사용자 Mac Address)&partner=ByeCleanP0&ver=
h**p://torang****.com/app_delete.php?mac=(사용자 Mac Address)&indate=2010071010&ver=1.0.0.3&pid=humoruniv

1-5. 삭제 정보

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [ByeClean] 삭제 항목을 이용하여 삭제하실 수 있습니다.

추가적으로 설치된 프로그램 중에서는 [Keyword Search] 프로그램만 정상적으로 삭제 기능을 제공할 뿐 다른 프로그램(파일)은 사용자가 수동으로 제거해야 합니다.

프로그램 삭제 후에는 추가적으로 다음의 파일들을 수동으로 삭제하시기 바랍니다.

C:\Program Files\servicellock\servicellock.exe
C:\WINDOWS\system32\neypol.dll
C:\WINDOWS\system32\win58E251.dll/winc3cls.dll
C:\Documents and Settings\(사용자 계정)\Application Data\servicellock\humoruniv_m.exe

특히 [C:\WINDOWS\system32\neypol.dll] 파일에 등록된 파일은 서비스 항목에 등록되어 시스템 시작시 자동으로 실행되도록 구성되어 있으므로, 파일 삭제시 반드시 Neypol 서비스 항목을 중지한 후 파일을 삭제하시기 바랍니다.

2. 제품 해지 신청 정보

 

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.

 

1. 전화 : 1566-5325
2. 자동 연장 결제 해지 신청

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터 또는 신문고(휴대폰 소액결제 민원해결센터)를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 한국소비자원에 신고하여 구제를 받으시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 보호나라 e콜센터(전화 118번) / 안철수연구소 가짜 백신 신고센터(로그인 필요) 또는 국내 신뢰할 수 있는 보안 업체를 이용하시기 바랍니다.