V3 Lite 보안 제품을 모방한 그리드 제거 프로그램 VG Lite

작년 하반기에 국내 웹하드 등과 같은 서비스에서 그리드(Grid) 서비스를 추가하여 사용자 인터넷 자원을 이용하는 문제에 대하여 인터넷 사용자들이 해당 서비스를 제거할 수 있는 프로그램을 공개한 적이 있었습니다.

비슷한 시기에 네이버(Naver) 카페를 통해 국내 보안 업체 안철수연구소(AhnLab)의 무료 백신 V3 Lite와 유사한 이름과 바로가기 아이콘 등으로 만들어진 VG Lite라는 그리드 제거 프로그램이 등장하게 되어 일부 사용자들이 설치를 하게 된 것으로 보입니다.

해당 프로그램은 현재는 서비스가 중지된 상태이며 실행시 정상적으로 기능은 동작하지만, 프로그램의 삭제 기능을 제공하지 않는 문제가 있기에 살펴보도록 하겠습니다.

프로그램의 설치 단계에서는 안철수연구소 V3 보안 제품 패키지 박스 디자인을 모방하여 그림을 배치한 것을 확인할 수 있습니다.

프로그램이 실행되면 자동으로 사용자 PC에 그리드 관련 서비스가 존재한지 체크하는 것으로 보이며, VG Lite 1.9 버전까지 공개된 후 서비스가 중지된 것으로 추정됩니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\VG\VG Lite\MSINET.OCX
C:\Program Files\VG\VG Lite\vb6ko.dll
C:\Program Files\VG\VG Lite\VG.exe :: 시작 프로그램 등록 파일 / 프로그램 실행 파일
C:\Program Files\VG\VG Lite\VGupdata.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\VG Lite.lnk

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{48E59293-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59294-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\CLSID\{48E59295-9880-11CF-9754-00AA00C00908}
HKEY_CLASSES_ROOT\TypeLib\{48E59290-9880-11CF-9754-00AA00C00908}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - VG = C:\Program Files\VG\VG Lite\VG.exe

프로그램을 설치한 사용자 중 삭제를 원하실 때에는 프로그램 종료 또는 작업 관리자에서 VG.exe 프로세스를 수동으로 종료한 후, 해당 생성 폴더(파일) 및 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

참고로 해당 VG Lite 프로그램이 설치되어 실행된 상태에서 다음과 같은 3가지 유형의 통신 연결이 꾸준하게 확인이 되고 있으므로 참고하시기 바랍니다.

네이버(Naver)에 개설된 특정 VB 관련 카페를 특정 무료 도메인을 통해 연결을 시도하고 있습니다.

네이버(Naver) 실시간 검색 순위에 VG Lite를 등록하기 위해 무한 검색 쿼리를 네이버에 요청하는 동작을 확인할 수 있습니다.

해당 프로그램의 개발자로 추정되는 네이버(Naver) 블로그에 연결을 시도하는 것을 확인할 수 있습니다.

현재 VG Lite 프로그램의 서비스 중지 후 VG 0.2 버전으로 변경되어 배포가 이루어지고 있는 것을 추가로 확인할 수 있습니다.

테스트 당시 해당 프로그램은 설치 후 VG 설정 화면에서 더 이상 진행이 되지 않으며 자동으로 프로그램이 종료가 이루어지고 있습니다.

하지만 해당 버전에서는 설정 화면이 동작하는 과정에서 특정 웹게임으로 연결이 이루어지는 부분을 확인할 수 있으며, 이는 기존 VG Lite에서는 확인되지 않았던 부분으로 깨끗한 프로그램으로 볼 수는 없어 보입니다.

결론적으로 해당 프로그램은 그리드 서비스를 제거한다는 순수한 의도는 좋지만, 유명 업체 디자인을 모방한 점, 네이버(Naver) 검색 결과를 프로그램을 통해 등록하려고 불필요한 통신을 시도한다는 점, 프로그램 삭제를 정상적으로 지원하지 않는다는 점에서 사용자들의 주의가 요구됩니다.