본문 바로가기

벌새::Analysis

하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의

국내에서 제작된 통합코덱 프로그램 중 하우코덱(HowCodec)을 설치하는 과정에서 사용자가 제대로 인지하지 못하는 이용약관으로 인하여 광고가 생성되는 문제로 고생을 할 수 있는 문제를 발견하였습니다.
 

참고로 해당 코덱 프로그램의 경우 예전부터 국내 보안 제품에서는 악성코드로 진단하는 사례가 있었던 것으로 알려져 있으므로 참고하시기 바랍니다.

 

해당 프로그램 설치시 제시되는 이용약관 중간 부분에는 [제8조 : 소프트웨어의 부가 서비스 기능] 항목을 통하여 추가적으로 키워드 관련 광고 프로그램을 비롯한 제휴(스폰서) 프로그램이 필수 항목으로 설치가 이루어진다는 내용이 포함되어 있습니다.

해당 내용에 대하여 일반 사용자의 경우 제대로 확인하지 않는다는 점에서 프로그램 설치 후 생성되는 광고가 어떤 프로그램으로 인한 문제인지 확인하기 매우 어려울 것으로 판단됩니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\howcodec\AC3FILTER
C:\Program Files\howcodec\CDXA Reader
C:\Program Files\howcodec\CoreAAC
C:\Program Files\howcodec\CoreFLAC Decoder
C:\Program Files\howcodec\CoreVorbis Decoder
C:\Program Files\howcodec\FFDShow MPEG-4 Video Decoder
C:\Program Files\howcodec\FLVSplitter
C:\Program Files\howcodec\GPL MPEG-1,2 Decoder
C:\Program Files\howcodec\MP3 디코더
C:\Program Files\howcodec\Matroska Splitter
C:\Program Files\howcodec\Media Player Classic
C:\Program Files\howcodec\Mpeg2Dec Filter
C:\Program Files\howcodec\MpegSplitter
C:\Program Files\howcodec\OggSplitter
C:\Program Files\howcodec\RadLight APE Filter
C:\Program Files\howcodec\RadLight MPC Filter
C:\Program Files\howcodec\RadLight OFR Filter
C:\Program Files\howcodec\RadLight TTA Filter
C:\Program Files\howcodec\RealMedia Splitter
C:\Program Files\howcodec\SubtitleSource Filter
C:\Program Files\howcodec\VSFilter
C:\Program Files\howcodec\Xvid Video Codec
C:\Program Files\howcodec\x264 Video Codec
C:\Program Files\howcodec\HowCodec_UnIns.exe :: 프로그램 삭제 파일
C:\Program Files\howcodec\HowCodec_Update.exe :: 시작 프로그램 등록 파일

C:\Program Files\howcodec\UpChanger.exe
C:\Program Files\howcodec\UpVersion.Dat
C:\Program Files\howcodec\Version.Dat
C:\Program Files\howcodec\catedomain.dt
C:\Program Files\howcodec\category.dt
C:\Program Files\howcodec\hccmdomain.dt
C:\Program Files\howcodec\howcodecband.dll :: BHO 등록 파일
C:\Program Files\howcodec\howcodecopen.dt
C:\Program Files\howcodec\howcodecopen.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\howcodec\howcodecsite.dt
C:\Program Files\howcodec\howcodecsrv.exe
C:\Program Files\howcodec\outdomain.dt
C:\Program Files\howcodec\srv.dt
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\AC3Filter 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\FFDShow Audio Decoder 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\FFDShow VFW Encoder 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\FFDShow Video Decoder 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\VSFilter (DirectVobSub) 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\XviD VFW 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\XviD 비디오 디코더 환경설정.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\howcodec\x264 비디오 환경설정.lnk


프로그램이 설치된 환경에서 Windows 시작시 HowCodec_Update.exe / howcodecopen.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

HowCodec_Update.exe 파일은 프로그램 업데이트 체크 기능을 한 후 스스로 종료하며, howcodecopen.exe 파일은 메모리에 상주하도록 구성되어 있습니다.

 

사용자가 인터넷 검색시 시스템 트레이 상단에 [연관 추천 태그] 팝업창을 생성하여, 사용자가 클릭할 경우 하우코덱 서버를 경유하여 사이트 접속이 이루어지도록 구성되어 있습니다.

 

추가적으로 인터넷 검색시 팝업창 방식으로 다양한 상업적 목적의 인터넷 사이트가 노출되는 것을 확인할 수 있습니다.

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

{5D19999A-E977-46A5-BD6A-6E816262F399}

 - 게시자 : HOW SOFT
 - CLSID : {5D19999A-E977-46A5-BD6A-6E816262F399}
 - 파일 : C:\Program Files\howcodec\howcodecband.dll

프로세스 정보를 살펴보면 howcodecopen.exe 프로세스는 메모리에 상주하여 추천 연관 태그 팝업창을 생성하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 howcodecband.dll 파일을 BHO 방식으로 추가하여 동작을 하는 것을 확인할 수 있습니다.

 

프로그램 삭제시에는 작업 관리자에서 howcodecopen.exe 프로세스 수동 종료 및 모든 Internet Explorer를 종료한 상태에서 제어판의 [하우코덱] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Program Files\howcodec] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보 : 광고 생성 부분]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5D19999A-E977-46A5-BD6A-6E816262F399}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5D19999A-E977-46A5-BD6A-6E816262F399}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - howcodec = "C:\Program Files\howcodec\HowCodec_Update.exe"
 - howcodecopen = "c:\program files\howcodec\howcodecopen.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\하우코덱
HKEY_LOCAL_MACHINE\SOFTWARE\howcodec


일부 프로그램의 경우 설치 과정에서 사용자가 선택 여부에 따라 설치되는 것이 아니라 필수 항목으로 제대로 인지하지 못하는 과정에서 설치가 되어 광고 행위를 하는 경우가 있으므로 이런 광고를 제거하기 위해서는 메인 프로그램 자체를 함께 삭제를 하시는 것이 중요합니다.

  • 비밀댓글입니다

  • 진심; 2011.06.08 01:42 댓글주소 수정/삭제 댓글쓰기

    온갖 백신 검사 다 해보다가 혹시 짜증나게 했던 하우코덱인가 하고 지워봤더니 정말 쿠팟 싸이트가 안뜨네요 ㅡㅡ;; 정말 힘들었었습니다..

    • 이 프로그램은 설치할 때 복잡한 이용약관을 사용자가 제대로 읽지 않는 점을 이용하여 광고 기능을 함께 설치하는 방식이죠.

      사실상 누구나 당하기 쉽다는게 문제죠.

      고생하셨습니다.ㅠㅠ

  • 까망콩 2012.10.25 18:51 댓글주소 수정/삭제 댓글쓰기

    정말 고맙습니다~
    덕분에 이상한 오류메시지 안봐도 되네요^^

  • 하우코덱을다삭제했는데도 곰플레어및다우로드하려고하면 인터넷이 팅겨버립니다 다른코덱을 다운하려고해도 다팅겨버리니 먹통이나 다름없는데 어떻게해야하나요

    • 아마 웹 브라우저와 함께 동작하는 어떤 프로그램이 설치되어서 발생하는 증상 같습니다.

      이런 경우에는 보통 브라우저 도우미 개체(BHO)로 추가하여 동작하는 것으로 판단되므로, 웹 브라우저의 추가 기능 관리에 들어가서 등록된 항목을 각각 확인하여 수상한 파일과 연결된 부분이 있으면 사용 안 함으로 변경하여 문제의 원인을 찾을 수 밖에 없습니다.

      만약 해결이 어려우시면 http://cafe.naver.com/malzero/78368 게시글의 Runscanner 프로그램을 이용하여 run 파일을 제작하여 저에게 보내 주시기 바랍니다.(http://hummingbird.tistory.com/notice/911)

  • 혹시원격조정은 않되나요 제가 컴맹이라서요 ㅠㅠ

    • 블로그에서는 원격을 해주지 않고 있습니다. 대신 http://cafe.naver.com/malzero 카페에서 증상과 함께 원격을 요청하시면 도와드리는 분들이 있으므로 요청해 보시기 바랍니다.

  • 흐엉 2013.12.04 01:29 댓글주소 수정/삭제 댓글쓰기

    자꼬 실행중이여서 삭제가 안된대요ㅜㅠㅠ 인터넷 다 끄고 했는데도 계속 실행중이라네요 어떻하죠

    • C:\Program Files\howcodec 하우코덱 폴더 내에 보시면 exe 파일이 Windows 작업 관리자에서 동작하는 프로세스로 있는 경우 모두 종료하시고 삭제를 시도해 보시기 바랍니다.

      그리고 내용을 봐서는 제어판에서 삭제하는 것이 아니라 폴더를 삭제하시려는 것 같은데.. 제어판을 통해 프로그램을 삭제하시길 권장합니다.