반응형
해외 특정 온라인 공유 서비스를 이용하여 mp3 음원을 다운로드할 수 있도록 제공하는 국내에서 제작된 제트MP3 프로그램이 있습니다.
해당 프로그램은 설치 과정에서 어떠한 화면 정보를 제공하지 않으며 설치가 이루어지며, 기본적인 동작 방식은 제트MP3 사이트에서 제공하는 검색 기능과 웹 브라우저와 연동된 다운로드 방식을 사용하는 것으로 보입니다.
그런데 프로그램을 설치한 후 시스템 재부팅 후 등록된 파일로 인해 보안 제품에서 악성코드 진단을 유발함과 동시에 사용자가 제대로 인지하지 못하는 과정에서 각종 제휴(스폰서) 프로그램을 설치하는 동작이 확인되고 있으므로 주의가 필요합니다.
해당 프로그램은 설치 과정에서 어떠한 화면 정보를 제공하지 않으며 설치가 이루어지며, 기본적인 동작 방식은 제트MP3 사이트에서 제공하는 검색 기능과 웹 브라우저와 연동된 다운로드 방식을 사용하는 것으로 보입니다.
그런데 프로그램을 설치한 후 시스템 재부팅 후 등록된 파일로 인해 보안 제품에서 악성코드 진단을 유발함과 동시에 사용자가 제대로 인지하지 못하는 과정에서 각종 제휴(스폰서) 프로그램을 설치하는 동작이 확인되고 있으므로 주의가 필요합니다.
[생성 파일 등록 정보]
C:\Program Files\zmp3\tmp\zmp3s.exe
C:\Program Files\zmp3\default.mp3
C:\Program Files\zmp3\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\zmp3\zmp3.dll
C:\Program Files\zmp3\zmp3.exe
C:\Program Files\zmp3\zmp3s.exe :: 시작 프로그램 등록 파일
C:\Program Files\zmp3\zmp3_ver.ini
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\제트MP3\제트MP3 무료 다운.lnk
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{68CD7819-00C9-4fe3-8936-B98C5E7473DC}
HKEY_CLASSES_ROOT\Interface\{4B200D40-07CE-4B24-8C24-28A4009593CE}
HKEY_CLASSES_ROOT\TypeLib\{BFA9C43A-CF40-4570-9A98-0121BD0CDEBE}
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl.1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ZMP3UpdateSched = C:\Program Files\zmp3\zmp3s.exe WindowsInit
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\zmp3
HKEY_LOCAL_MACHINE\software\zmp3
C:\Program Files\zmp3\tmp\zmp3s.exe
C:\Program Files\zmp3\default.mp3
C:\Program Files\zmp3\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\zmp3\zmp3.dll
C:\Program Files\zmp3\zmp3.exe
C:\Program Files\zmp3\zmp3s.exe :: 시작 프로그램 등록 파일
C:\Program Files\zmp3\zmp3_ver.ini
C:\Documents and Settings\(사용자 계정)\Application Data\Microsoft\Internet Explorer\Quick Launch\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\제트MP3.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\제트MP3 무료 다운.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\제트MP3\제트MP3 무료 다운.lnk
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{68CD7819-00C9-4fe3-8936-B98C5E7473DC}
HKEY_CLASSES_ROOT\Interface\{4B200D40-07CE-4B24-8C24-28A4009593CE}
HKEY_CLASSES_ROOT\TypeLib\{BFA9C43A-CF40-4570-9A98-0121BD0CDEBE}
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl
HKEY_CLASSES_ROOT\zmp3xObj.zmp3xObjCtrl.1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- ZMP3UpdateSched = C:\Program Files\zmp3\zmp3s.exe WindowsInit
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\zmp3
HKEY_LOCAL_MACHINE\software\zmp3
프로그램이 설치된 환경에서 Windows 시작시 zmp3s.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 설정되는 부분이 존재합니다.
사용자에게는 시스템 시작시 [Free MP3 Downloader Update] 창을 통해 ZMP3 다운로드 컨트롤(필수), ZMP3 Desktop Shortcuts(필수) 항목에 대해 설치를 해야한다는 업데이트 창이 생성됩니다.
이용약관으로 제시되는 부분은 해당 프로그램에 대해 영문으로 표시를 하고 있으며, 해당 설치창의 스크롤바를 추가적으로 내리면 그림과 같이 인터넷 쇼핑몰 바로가기, 검색 도우미, 악성코드 치료 프로그램 등과 같은 제휴(스폰서) 프로그램이 체크된 상태로 포함되어 있는 것을 확인할 수 있습니다.일차적으로 사용자가 해당 제휴(스폰서) 프로그램이 가려진 상태로 존재한다는 점을 인지하기 매우 어렵다는 점과 해당 프로그램에 대한 이용약관을 제대로 제시하지 않는 문제가 있습니다.
[MDM.exe 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- MDM = "C:\Program Files\Internet Explorer\MDM.exe" init
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- MDM = "C:\Program Files\Internet Explorer\MDM.exe" init
생성된 MDM.exe 파일은 Windows 시작시 시작 프로그램으로 등록하여 자동 실행되며, 국내 특정 웹하드 광고를 위해 등록된 [h**p://**angu.com/app/m.php] 도메인으로 연결이 이루어지는 것을 추가로 확인하였습니다.
다시 업데이트 창 생성 부분으로 돌아와 Windows 시작시 동작하는 zmp3s.exe 파일에 대해 조금 더 살펴보도록 하겠습니다.
- h**p://**angu.com/partner/install.php?p_id=zmp3&mac=(사용자 Mac Address)&pmac=
- h**p://**angu.com/partner/boot.php?p_id=zmp3&mac=(사용자 Mac Address)
- h**p://*mp3.net/zmp3/ax/zmp3_ver.ini
- h**p://*mp3.net/zmp3/ax/zmp3s.exe
- h**p://*mp3.net/zmp3/ax/MDM.exe
- h**p://*mp3.net/zmp3/ax/delold.exe
- h**p://**angu.com/app/zmp3.dat
728x90
반응형