본문 바로가기

벌새::Analysis

세이프케어(SafeCare_mhz_rs.exe) 파일 자동 설치 문제 원인 분석

반응형
2011년 1월 하순경부터 최근까지 국내에서 제작된 개인정보 보안 솔루션 세이프케어(SafeCare) 프로그램이 사용자 몰래 PC에 설치되거나 설치 유도 팝업창 등이 생성되는 문제로 수많은 사용자들이 피해를 당하고 있는 것으로 알려져 있습니다.

현재 알려진 세이프케어(SafeCare) 설치 파일의 정확한 이름은 SafeCare_mhz_rs.exe (MD5 : 01a1d781775c97ec2cb71eec89ef1987) 파일로 해당 파일이 어떻게 사용자 PC에 설치가 되는지 과정을 분석하여 보겠습니다.

현재 확인된 설치 유도 프로그램은 Hint 1.4 프로그램으로 어떤 경로를 통해 해당 프로그램이 설치되는지 알 수는 없지만, 설치 과정에서 자신 이외에는 어떠한 프로그램도 설치하지 않는 것을 확인할 수 있습니다.

[Hint 1.4 : 생성 폴더 / 파일 등록 정보]

C:\Program Files\Hint\hint.dt
C:\Program Files\Hint\Hint.exe :: 시작 프로그램 등록 파일
C:\Program Files\Hint\hint.ver
C:\Program Files\Hint\Uninstall.exe :: 프로그램 삭제 파일

[Hint 1.4 : 생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\App Paths\Hint.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run
 - Hint.exe = C:\Program Files\Hint\Hint.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\Hint

해당 프로그램은 어떠한 기능을 하는지 알려져 있지 않으며 설치된 환경에서 Hint.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[Hint.exe 파일 네트워크 연결 정보 : 초기 실행 시점]

h**p://221.***.20.***/install/banner_svc.php
h**p://221.***.20.***/install/banner_popup.php
h**p://221.***.20.***/install/banner_svc.php
h**p://221.***.20.***/install/svc.php
h**p://221.***.20.***/install/PrcInstall.php?install_cnt=N&reinstall_cnt=N&del_cnt=N&ins_live_cnt=N&real_live_cnt=Y&macaddr=(사용자 Mac Address)&appname=a

Hint.exe 프로세스가 생성되는 시점에서 국내 특정 아이피(IP)에 접속을 시도하여 정보를 체크하는 과정에서 [h**p://221.***.20.***/install/svc.php] 정보를 확인할 수 있습니다.

Hint.exe 프로세스는 그림과 같이 추가적으로 다운로드되는 Service Install 1, Service Install 2번을 체크하며, 해당 파일은 [h**p://221.***.20.***/install/setup/SafeCare_mhz_rs.exe] 파일임을 확인할 수 있습니다.

실제 Hint.exe 파일이 실행된 후, 약 몇 분의 시간이 경과하면 사용자 몰래 [C:\Documents and Settings\(사용자 계정)\Application Data\SafeCare_mhz_rs.exe] 위치에 세이프케어(SafeCare) 설치 파일을 다운로드하여 자동으로 설치가 이루어지는 것을 확인할 수 있습니다.

참고로 Hint.exe 프로세스는 사용자 몰래 세이프케어(SafeCare) 프로그램을 설치한 후에는 스스로 종료를 하도록 구성되어 있습니다.

설치가 완료된 SafeCare_mhz_rs.exe 설치 파일은 자가 삭제되어 사용자가 해당 폴더를 확인해보면 존재하지 않는 파일로 보일 수 있습니다.

[Hint.exe 파일 네트워크 연결 정보 : SafeCare 자동 설치 시점]

(Service Install 1번)
h**p://221.***.20.***/install/setup/SafeCare_mhz_rs.exe :: SafeCare 설치 파일 다운로드
h**p://221.***.20.***/install/PrcInstall.php?install_cnt=Y&reinstall_cnt=N&del_cnt=N&ins_live_cnt=N&real_live_cnt=N&macaddr=(사용자 Mac Address)&appname=b&os=(사용자 OS)&sp=(사용자 OS 서비스팩) :: 설치 PC 정보
h**p://safe****.co.kr/app/count.php?kind=pass&pid=mhz :: SafeCare 업체 파트너 설치 카운터

(Service Install 2번)
h**p://221.***.20.***/install/setup/SafeCare_mhz_rs.exe
h**p://221.***.20.***/install/PrcInstall.php?install_cnt=Y&reinstall_cnt=N&del_cnt=N&ins_live_cnt=N&real_live_cnt=N&macaddr=(사용자 Mac Address)&appname=b&os=(사용자 OS)&sp=(사용자 OS 서비스팩)
h**p://safe****.co.kr/app/count.php?kind=pass&pid=mhz

실제 설치되는 로그를 확인해보면 위에서 살펴본 Hint.exe 파일에 등록된 두 번의 설치가 정확하게 이루어지는 것을 확인할 수 있으며, 해당 SafeCare 배포자의 파트너 아이디를 SafeCare 업체에서 카운터를 하고 있는 것을 확인할 수 있습니다.

위와 같은 Hint 1.4 프로그램을 통해 매번 시스템 시작시마다 사용자가 세이프케어(SafeCare) 프로그램을 삭제하여도 재설치를 시도하는 등의 악의적인 동작이 이루어지고 있으며, 현재 국내 보안 업체는 무성의하게 이런 악의적인 동작에 대하여 진단을 하지 않고 있는 안타까운 현실이 20여일 이상 지속되고 있습니다.

결론적으로 이런 배포로 고생하시는 분들은 반드시 세이프케어(SafeCare) 프로그램만 삭제하지 마시고, 추가적으로 Hint 1.4 프로그램을 찾아서 함께 제거를 해주시기 바랍니다.

세이프케어(SafeCare) 프로그램에 대한 세부적인 내용은 이전에 작성한 글을 참고하시기 바라며, Hint 1.4 프로그램이 실제 광고 관련 기능은 전혀 없는 사용자 몰래 프로그램을 설치할 목적으로 제작된 프로그램으로 추정됩니다.

이번과 같이 특정 프로세스가 시스템 시작과 함께 자동 실행된 후 바로 동작하지 않고 일정 시간이 경과한 후에 동작하여 사용자는 쉽게 설치를 유도하는 프로그램을 찾는 것이 매우 어려우므로, 신뢰할 수 없는 프로그램은 함부로 설치하지 않도록 주의하시기 바랍니다.

728x90
반응형
  • abc 2011.02.20 22:21 댓글주소 수정/삭제 댓글쓰기

    덕분에 세이프케어를 확실히 지우게 됬어요 ㅎ
    내일 세이프케어 설치하라는 창이 안뜨겠죠? ㅎㅎ

    • 성공 여부는 삭제 후 시스템 재부팅 후 10분 정도 기다려보시면 결과를 알 수 있을 겁니다.

      문제는 이 프로그램말고 다른 프로그램으로도 배포를 시도했다면 골치 아프겠죠.ㅠㅠ

  • 서훈 2011.02.21 10:57 댓글주소 수정/삭제 댓글쓰기

    작성글 감사합니다 ㅠㅠ 덕분에 이 거머리같은 세이프케어에서 벗어날 수 있겠네요. 세이프케어 관련글 검색중에 세이프케어 제작사 사장이 얼마전 잠적했다는 얘기를 발견했는데, 정보취약층의 돈을 갈취하고, 사람들을 귀찮게 만드는 이런 벌레같은 프로그램을 만든 쓰레기들을 좀 강력하게 처벌해 줬으면 합니다. 근데 이에관해 우리나라 관련 법들이 아직 미비하다고 하더군요. 답답합니다.

  • Lex 2011.02.21 11:25 댓글주소 수정/삭제 댓글쓰기

    저는 Hint라는 프로그램이 설치되어 있지 않습니다.
    아무래도, 또다른 방법이 있나봅니다.
    일단, 세이프케어만 지웠는데 좀 불안하네요.

    추가: 방금 Dint 1.4라는 프로그램을 찾았습니다. ㅡㅡ;
    앞철자만 바꿨네요.

    • 역시 여러 경로를 통해 유포가 이루어지는 것 같군요.ㅠㅠ

      이번 사례를 보면 국내에서 제작된 스폰서 프로그램이 원인으로 추정되므로 사용자 PC에 설치된 프로그램을 잘 확인해 볼 필요가 있어 보입니다.