울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 모던플러스(ModernPlus) - MozenKill

벌새::Analysis
해외에 등록된 것으로 추정되지만 국내를 상대로 제휴(스폰서) 프로그램 방식으로 국내 포털 사이트 개인화 및 네이버(Naver) 등 포털 사이트 검색 결과를 변조하는 모던플러스(ModernPlus) - MozenKill 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 배포 설치 파일(MD5 : 99399ddb1a6c4c735488468b2f089159)의 경우 1회 설치된 이후에는 동일한 PC 환경에서 재설치가 되지 않도록 제작된 것으로 보이므로 참고하시기 바랍니다.

해당 프로그램은 기존에 다양한 이름 및 버전별 프로그램이 존재하였던 것으로 추정되므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenKill\MozenKill.lnk
C:\Program Files\MozenKill
C:\Program Files\MozenKill\homepage.url
C:\Program Files\MozenKill\intro.url
C:\Program Files\MozenKill\Log
C:\Program Files\MozenKill\mzkilrun.exe :: 프로그램 실행 파일
C:\Program Files\MozenKill\mzkiluh.dll :: BHO 등록 파일
C:\Program Files\MozenKill\mzkiluhnad.dll
C:\Program Files\MozenKill\mzkiluhsvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\MozenKill\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\MozenKill\winkil_uins.dat
C:\WINDOWS\system32\winkilsvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일

해당 프로그램은 [C:\Program Files\MozenKill] 폴더에 파일을 생성하며, 시스템 시작시 서비스에 등록된 Windows MineService Diagnostics Service, Windows MineService Update Class 2개의 항목이 자동으로 실행되도록 구성되어 있습니다.

MozenKill 프로그램은 사용자가 직접 실행을 하여 동작하는 방식으로 국내 인터넷 사용자들이 많이 이용하는 포털 사이트를 사용자가 재구성을 통한 개인화할 수 있도록 지원하는 것으로 소개되어 있습니다.

제품의 이용약관에서는 그 외에 해당 프로그램 설치를 통해 사용자 운영 체제(OS), 웹 브라우저 버전, Mac Address, 인터넷 검색 키워드 정보, 방문한 웹 사이트 정보 등을 업체에서 수집한다고 표기되어 있습니다.

그 중에서 사용자가 Internet Explorer 웹 브라우저를 이용하여 네이버(Naver) 검색을 하는 경우 동작하는 부분에 대해 살펴보도록 하겠습니다.

사용자가 네이버(Naver) 사이트에 접속을 할 경우 업체 서버에 사용자 Mac Address, MozenKill 버전, 사용자 운영 체제(OS) 버전, 웹 브라우저 버전 등의 정보가 전송되는 것을 확인할 수 있습니다.

정상적인 네이버(Naver) 검색 결과

만약 사용자 PC에 해당 프로그램이 설치되지 않은 상태에서 네이버(Naver) 검색을 통해 제시되는 결과를 보면 최상단에 "파워 링크 → 플러스 링크 → 비즈 사이트 → 지식 쇼핑" 순으로 결과가 나오는 것을 확인할 수 있습니다.

MozenKill 설치 환경에서 네이버(Naver) 검색 결과

하지만 MozenKill 프로그램이 설치된 환경에서 동일한 검색을 시도할 경우 최상단에는 네이버(Naver)에서 제공하는 광고 영역이 삭제되고 "시퀀스 링크" 광고가 노출되며 하단에는 네이버에서 제공하는 지식 쇼핑이 나오는 것을 확인할 수 있습니다.

해당 시퀀스 링크 영역을 살펴보면 "본 컨텐츠는 네이버에서 제공하지 않고, 개인화 서비스인 모젠킬을 통해서 제공되는 검색 컨텐츠입니다."라고 표기되어 있습니다.

참고로 해당 시퀀스 링크에서 제시하는 사이트 링크는 특정 광고 코드가 포함된 형태입니다.

해당 시퀀스 링크를 통한 광고 동작 속에 숨어있는 부분을 세부적으로 살펴보도록 하겠습니다.

① 사용자가 네이버(Naver) 검색을 실행합니다.

② 원래 제시되어야 하는 네이버(Naver) 검색 결과를 변조하기 위한 시퀀스 링크 정보를 가져옵니다.

③ 업체 서버에 리포트 전송 : 사용자 Mac Address, MozenKill 프로그램 버전, 사용자 운영 체제(OS) 버전, 웹 브라우저 버전 등

④ 사용자가 입력한 키워드를 바탕으로 백그라운드 방식으로 다음(Daum), 구글(Google), 네이트(Nate) 검색 시도

이런 동작으로 인해 사용자가 인터넷 검색시 정상적인 검색 결과를 볼 수 없는 문제와 인터넷 검색 속도 저하 및 원치 않는 검색 정보가 외부에 수집되는 문제가 발생할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : MozenKill System
게시자 : USENET
CLSID : {399A3116-130A-4A53-81FD-DDFC014C2907}
파일 : C:\Program Files\MozenKill\mzkiluh.dll

해당 광고 동작은 Internet Explorer 웹 브라우저가 실행되면 iexplore.exe 프로세스에 mzkiluh.dll 파일을 추가하여 BHO 방식으로 동작하므로, 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "MozenKill System" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

또한 서비스(실행창 : services.msc)에 등록된 Windows MineService Diagnostics Service, Windows MineService Update Class 2개의 서비스 항목을 열어 서비스 상태를 "중지"로 변경하시기 바랍니다.

서비스 중지가 정상적으로 이루어진 경우 프로세스 목록에서는 mzkiluhsvc.exe, winkilsvc.exe 2개의 프로세스가 종료되므로 참고하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [MozenKill] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenKill] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{399A3116-130A-4a53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{199A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
MozenKillc32017BHO.MozenKillc32017APIClass.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{299A3116-130A-4A53-81FD-DDFC014C2907}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{399A3116-130A-4a53-81FD-DDFC014C2907}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MineService

HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.8.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.8.0

해당 프로그램은 외형적으로는 사용자에게 유용한 프로그램으로 보이지만, 네이버(Naver)와 같은 검색 엔진 결과를 임의로 수정하는 불법적인 문제와 인터넷 활동이 외부에서 수집된다는 점에서 너무 많은 것을 내주는 것이 아닌가 개인적으로 판단됩니다.