울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 모던플러스(ModernPlus) - ModernXo

벌새::Analysis
국내 주요 포털 사이트 구성을 사용자의 취향에 따라 개인화할 수 있는 기능을 제공함과 더불어 네이버(Naver) 등 포털 사이트 검색 결과를 변조하는 기능을 가진 모던플러스(ModernPlus) - ModernXo 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 모던플러스(ModernPlus) 시리즈로 알려진 다양한 이름의 프로그램이 배포되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ModernXo
C:\Documents and Settings\All Users\시작 메뉴\프로그램\ModernXo
C:\Documents and Settings\All Users\시작 메뉴\프로그램\ModernXo\ModernXo.lnk
C:\Program Files\ModernXo
C:\Program Files\ModernXo\homepage.url
C:\Program Files\ModernXo\intro.url
C:\Program Files\ModernXo\Log
C:\Program Files\ModernXo\mdxorun.exe :: 프로그램 실행 파일
C:\Program Files\ModernXo\mdxoui.dll :: BHO 등록 파일
C:\Program Files\ModernXo\mdxouinad.dll
C:\Program Files\ModernXo\mdxouisvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\ModernXo\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\ModernXo\winxo_uins.dat
C:\WINDOWS\system32\winxosvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일
C:\WINDOWS\Temp\setup_c32007_1.1.9.0(1).exe

해당 프로그램은 [C:\Program Files\ModernXo] 폴더에 파일을 생성하며, 시스템 시작시 [C:\Program Files\ModernXo\mdxouisvc.exe], [C:\WINDOWS\system32\winxosvc.exe] 2개의 파일을 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.

사용자가 ModernXo 프로그램을 실행하면 그림과 같이 국내 인터넷 사용자들이 많이 이용하는 포털 사이트 콘텐츠를 사용자 취향에 맞게 재구성할 수 있는 기능을 제공하도록 되어 있습니다.

하지만 해당 프로그램의 이용약관에서는 프로그램 설치로 인하여 사용자 운영 체제(OS), 웹 브라우저 버전, Mac Address, 인터넷 검색 키워드 정보, 방문한 웹 사이트 정보 등을 수집하는 기능이 포함되어 있습니다.

개인적으로 해당 프로그램의 가장 핵심적인 기능은 사용자가 네이버(Naver) 검색을 할 경우 원래 정상적으로 노출되는 상단 광고 영역(파워 링크 → 플러스 링크 → 비즈 사이트)이 삭제되고, 프로그램에서 제공하는 "시퀀스 링크" 광고가 채워진다는 점입니다.

시퀀스 링크에서는 "본 컨텐츠는 네이버에서 제공하지 않고, 개인화 서비스인 모던엑스오를 통해서 제공되는 검색 컨텐츠입니다."라고 표기되어 있습니다.

참고로 시퀀스 링크의 연결 URL 정보를 확인해보면 특정 광고 코드가 추가되어 해당 링크를 통해 접속하여 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

이 과정을 URL 접속 정보를 통해 확인해보면 ① 사용자가 네이버(Naver) 검색을 시도할 경우 ② 특정 서버에서 제공하는 시퀀스 링크 광고를 불러와 네이버 검색 결과를 변조하며 ③ 사용자 검색 키워드를 참조하여 백그라운드 방식으로 구글(Google), 다음(Daum), 네이트(Nate) 검색을 함께 진행하도록 구성되어 있습니다.

이를 통해 정상적인 검색 속도와는 다르게 인터넷 속도 저하 및 사용자 인터넷 검색 정보가 외부에서 수집되는 문제가 발생할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : ModernXo System
게시자 : USENET
CLSID : {3874D79D-D70E-4E91-9515-E74B151E5F1D}
파일 : C:\Program Files\ModernXo\mdxoui.dll

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 mdxoui.dll 파일을 BHO 방식으로 추가하여 구현되며, 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "ModernXo System" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 시스템 시작시 mdxouisvc.exe, winxosvc.exe 2개의 파일이 서비스로 등록되어 메모리에 상주하는 것을 확인할 수 있습니다.

서비스 등록 정보를 확인해보면 Windows MineService Diagnostics Service, Windows MineService Update Class 2개의 항목이 존재하며, 사용자는 프로그램 삭제시 서비스(services.msc) 항목에 등록된 각 항목의 서비스 상태를 [중지] 시키시기 바랍니다.

프로그램 삭제시에는 서비스 중지 및 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [ModernXo] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ModernXo
  • C:\WINDOWS\Temp\setup_c32007_1.1.9.0(1).exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3874D79D-D70E-4e91-9515-E74B151E5F1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1874D79D-D70E-4E91-9515-E74B151E5F1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ModernXoc32007BHO.ModernXoc32007APIClass

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\
ModernXoc32007BHO.ModernXoc32007APIClass.1

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2874D79D-D70E-4E91-9515-E74B151E5F1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\mdxouisvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3874D79D-D70E-4e91-9515-E74B151E5F1D}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MineService

HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.9.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.9.0

해당 프로그램은 인터넷 검색시 포털 사이트 광고 검색 영역을 임의로 변조하여 사용자가 속기 쉬우며, 인터넷 검색 키워드 정보 및 사용자 시스템 정보 등이 외부에서 수집되어 활용될 수 있습니다.

또한 동일한 기능을 가진 프로그램이 다양한 이름으로 배포가 이루어지고 있으므로 원치 않게 설치된 분들은 참고하여 삭제를 하시기 바랍니다.