[삭제] Yint 1.5

올해 1월말경에 Hint 1.4 프로그램이 설치된 사용자 PC에서 특정 개인정보 보안 솔루션을 사용자 동의없이 집중적으로 설치한 사례가 있었습니다.

• 세이프케어(SafeCare_mhz_rs.exe) 파일 자동 설치 문제 원인 분석 (2011.2.20)

그런데 최근 위와 유사한 방식의 Yint 1.5 프로그램이 또 다시 유포되는 것을 확인하였습니다.

해당 프로그램의 설치 파일(MD5 : 467ff93b8011e8f21a5446170d783241)을 이용하여 설치하는 과정에서는 위와 같이 추가적인 프로그램이 존재하지 않는 것으로 표시가 되고 있습니다.(※ 실제 사용자 PC에 설치될 경우에는 위와 같은 설치 화면은 표시되지 않을 것으로 추정됩니다.)

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Yint
C:\Program Files\Yint\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Yint\Yint.dt
C:\Program Files\Yint\Yint.exe :: 시작 프로그램 등록 파일 / 서비스 등록 파일
C:\Program Files\Yint\Yint.ver

설치된 프로그램은 [C:\Program Files\Yint] 폴더에 파일을 생성하며, Windows 시작시마다 Yint.exe 파일을 시작 프로그램 및 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.

시스템 시작 후에는 Yint.exe 프로세스가 일정 시간 메모리에 상주하여 다음과 같은 특정 서버에 접속을 시도하여 추가적인 다운로드 시도 및 자신을 재설치하는 동작이 이루어질 수 있습니다.

(1) show-u_setup_hidisk.exe 다운로드 시도

GET /banner_svc.php HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Host: 222.2**.224.1**
Connection: Keep-Alive
Pragma: no-cache

(2) 광고 배너 생성 추정

GET /banner_popup.php HTTP/1.1
Accept: */*
Accept-Language: ko
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Connection: Keep-Alive
Host: 222.2**.224.1**

(3) Setup_Yint.exe 다운로드 시도

GET /svc.php HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2)
Host: 222.2**.224.1**
Connection: Keep-Alive
Pragma: no-cache

현재 테스트 과정에서는 정상적인 추가 다운로드 및 광고 행위는 확인이 되지 않고 있습니다.

하지만 해당 프로그램이 설치된 환경에서는 배포자의 의도에 따라 차후 사용자 몰래 추가적인 프로그램이 설치될 가능성이 존재합니다.

추가적으로 시작 프로그램으로 등록된 Yint.exe 파일은 Y_INT_Service라는 이름으로 서비스에 등록되어 시스템 시작시 자동 실행 후 서비스가 중지되는 동작이 있습니다.

이는 일반적으로 사용자들이 시작 프로그램으로 등록된 부분만 체크를 하고 서비스 항목은 확인하기 어렵기 때문에 이중적으로 등록하여 시스템 시작시 자동 실행되도록 구성한 것이 아닌가 생각됩니다.

프로그램 삭제는 제어판의 [Yint 1.5] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Yint.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Yint.exe = C:\Program Files\Yint\Yint.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yint
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_Y_INT_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Y_INT_Service

해당 프로그램은 사용자 PC에 추가적인 프로그램을 설치할 목적으로 배포가 이루어지는 것으로 보이므로, 설치된 사용자들은 반드시 삭제를 하시고 이용을 하시는 것이 차후 윈도우 시작시 자신도 모르게 설치되는 프로그램을 예방하는 방법이 아닐까 생각됩니다.