국내에서 제작된 T-통합코덱(T-Codec)으로 소개된 프로그램을 예전에 보안 제품에서 진단한다는 내용을 소개한 적이 있었습니다.
그런데, 해당 프로그램이 설치 폴더를 변경한 TCodecLite2 업데이트 버전이 존재하여 살펴보도록 하겠습니다.
[생성 폴더 / 파일 생성 정보]
C:\Program Files\TCodecLite2\FLVSplitter\FLVSplitter.ax
C:\Program Files\TCodecLite2\update\TCodecLiteSetup2.exe
C:\Program Files\TCodecLite2\tcl.dat
C:\Program Files\TCodecLite2\TCodecLite.exe :: 시작 프로그램 등록 파일
C:\Program Files\TCodecLite2\TCodecUninst.exe
C:\Program Files\TCodecLite2\unins000.dat
C:\Program Files\TCodecLite2\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\TCodecLite2\FLVSplitter\FLVSplitter.ax
C:\Program Files\TCodecLite2\update\TCodecLiteSetup2.exe
C:\Program Files\TCodecLite2\tcl.dat
C:\Program Files\TCodecLite2\TCodecLite.exe :: 시작 프로그램 등록 파일
C:\Program Files\TCodecLite2\TCodecUninst.exe
C:\Program Files\TCodecLite2\unins000.dat
C:\Program Files\TCodecLite2\unins000.exe :: 프로그램 삭제 파일
해당 프로그램은 [C:\Program Files\TCodecLite2] 폴더에 파일을 생성하며, Windows 시작시 TCodecLite.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
[TCodecLite.exe 네트워크 연결 정보]
GET /lite2/program/version.htm HTTP/1.1
Content-Type: text/html
Host: www.**codec.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /lite2/program/TCodecLiteSetup2.exe HTTP/1.1
Accept: Accept: */*
User-Agent: UtilMind HTTPGet
Host: www.**codec.com
GET /lite2/program/version.htm HTTP/1.1
Content-Type: text/html
Host: www.**codec.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /lite2/program/TCodecLiteSetup2.exe HTTP/1.1
Accept: Accept: */*
User-Agent: UtilMind HTTPGet
Host: www.**codec.com
자동 실행되는 TCodeLite.exe 파일은 추가적으로 프로그램 업데이트 체크 및 TCodecLiteSetup2.exe 파일을 다운로드 시도를 하는데, 해당 파일은 프로그램 설치 파일과 동일한 것으로 확인이 됩니다.
이번 프로그램도 마찬가지로 실제 통합코덱의 기능은 [C:\Program Files\TCodecLite2\FLVSplitter] 폴더에 생성된 것 이외에는 전혀 존재하지 않는 것으로 보이므로, 차후 업데이트 과정에서 추가적인 프로그램이 설치될 수 있으리라 추정됩니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
- C:\Program Files\TCodecLite2
- C:\Program Files\TCodecLite2\update
- C:\Program Files\TCodecLite2\update\TCodecLiteSetup2.exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{47E792CF-0BBE-4F7A-859C-194B0768650A}
HKEY_CLASSES_ROOT\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{C9ECE7B3-1D8E-41F5-9F24-B255DF16C087}
HKEY_CLASSES_ROOT\CLSID\{47E792CF-0BBE-4F7A-859C-194B0768650A}
HKEY_CLASSES_ROOT\CLSID\{C9ECE7B3-1D8E-41F5-9F24-B255DF16C087}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- TCodecLite2 = C:\Program Files\TCodecLite2\TCodecLite.exe
HKEY_CURRENT_USER\Software\TCodecLite2
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TCodecLite2_is1
HKEY_CLASSES_ROOT\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{47E792CF-0BBE-4F7A-859C-194B0768650A}
HKEY_CLASSES_ROOT\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{C9ECE7B3-1D8E-41F5-9F24-B255DF16C087}
HKEY_CLASSES_ROOT\CLSID\{47E792CF-0BBE-4F7A-859C-194B0768650A}
HKEY_CLASSES_ROOT\CLSID\{C9ECE7B3-1D8E-41F5-9F24-B255DF16C087}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- TCodecLite2 = C:\Program Files\TCodecLite2\TCodecLite.exe
HKEY_CURRENT_USER\Software\TCodecLite2
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\TCodecLite2_is1
해당 프로그램은 제어판에서 찾기 어려운 이름으로 등록되어 사용자들이 쉽게 인지하지 못할 수 있으며, 통합코덱과는 다소 거리가 있는 프로그램이므로 원치않는 사용자는 삭제를 하시기 바랍니다.
진짜 감사합니다
요즘 계속 뭐가 깔리는게 이놈 때문이란걸 방금 발견하고 삭제하려고 고민했는데
유용한 정보네요. 감사합니다.
이런 프로그램은 코덱 기능이 목적이 아니라 차후 사용자 몰래 금전적 수익을 목적으로 프로그램을 설치하죠.
감사합니다.^^