울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 모던플러스(ModernPlus) - MozenComs

벌새::Analysis
해외에 위치한 광고 업체로 추정되는 곳에서 국내를 상대로 제휴(스폰서) 프로그램 방식으로 배포하여 포털 사이트 구성 개인화 및 네이버(Naver), 다음(Daum) 등 포털 사이트 검색 결과를 변조하는 모던플러스(ModernPlus) - MozenComs 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 모던플러스(ModernPlus) 시리즈 프로그램 중의 하나로 확인되고 있으므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenComs
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenComs
C:\Documents and Settings\All Users\시작 메뉴\프로그램\MozenComs\MozenComs.lnk
C:\Program Files\MozenComs
C:\Program Files\MozenComs\homepage.url
C:\Program Files\MozenComs\intro.url
C:\Program Files\MozenComs\Log
C:\Program Files\MozenComs\mzcomsrun.exe :: 프로그램 실행 파일
C:\Program Files\MozenComs\mzcomsuj.dll :: BHO 등록 파일
C:\Program Files\MozenComs\mzcomsujnad.dll
C:\Program Files\MozenComs\mzcomsujsvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\MozenComs\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\MozenComs\wincoms_uins.dat
C:\WINDOWS\system32\wincomssvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일
C:\WINDOWS\Temp\setup_c32024_1.1.10.0(1).exe


해당 프로그램은 [C:\Program Files\MozenComs] 폴더에 주요 파일을 생성하며, 시스템 시작시 [C:\Program Files\MozenComs\mzcomsujsvc.exe], [C:\WINDOWS\system32\wincomssvc.exe] 2개의 파일을 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.

사용자가 MozenComs 프로그램을 직접 실행할 경우 그림과 같은 포털 사이트 콘텐츠를 사용자의 선택에 따라 재구성할 수 있도록 지원하고 있습니다.

하지만 해당 프로그램의 이용약관에서는 사용자 운영 체제(OS), 웹 브라우저 버전, Mac Address, 인터넷 검색 키워드 정보, 방문한 웹 사이트 정보 등을 수집하는 기능이 포함되어 있으며, 이런 부분에 대해서는 제대로 인지하지 못할 가능성이 높다고 판단됩니다.

특히 해당 프로그램이 설치된 환경에서 포털 사이트를 통한 검색을 시도할 경우 정상적인 검색 결과와는 다른 결과를 제시하는 문제를 확인할 수 있습니다.

정상적인 Daum 검색 결과

다음(Daum) 검색 결과를 확인해보면 해당 프로그램이 설치되어 있지 않은 환경에서 검색을 시도할 경우, "스폰서 링크 → 프리미엄 링크 → 스페셜 링크 → 와이드 링크" 광고 영역이 순서대로 노출되는 것을 확인할 수 있습니다.

하지만 MozenComs 프로그램이 설치된 환경에서는 다음(Daum)에서 제공하는 광고 영역을 무단으로 삭제하고 "시퀀스 링크" 광고를 넣는 동작을 확인할 수 있습니다.

해당 시퀀스 링크 광고에서는 "본 컨텐츠는 다음에서 제공하지 않고, 개인화 서비스인 모젠컴스를 통해서 제공되는 검색 컨텐츠입니다."라고 표기되어 있습니다.

참고로 시퀀스 링크 광고는 특정 광고 코드가 포함되어 있어 사용자가 해당 광고를 통해 접속하여 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

해당 광고 노출 과정에서 이루어지는 접속 URL 정보를 확인해보면 ① 사용자가 다음(Daum)에서 검색을 시도할 경우 ② 특정 서버로부터 시퀀스 링크 광고를 불러와 다음(Daum) 검색 결과를 변조하며 ③ 추가적으로 검색 키워드를 참조하여 백그라운드 방식으로 구글(Google), 네이버(Naver), 네이트(Nate) 검색이 함께 이루어집니다.

이런 이유로 인하여 사용자는 정상적인 포털 사이트 검색 결과를 확인할 수 없으며, 백그라운드 방식의 검색 행위로 인하여 인터넷 속도에 문제가 발생할 수도 있으리라 판단됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : MozenComs System
게시자 : USENET
CLSID : {327E9D85-0CDC-46BE-BA24-DC4E401BF209}
파일 : C:\Program Files\MozenComs\mzcomsuj.dll


해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 mzcomsuj.dll 파일을 BHO 방식으로 추가하여 구현되며, 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "MozenComs System" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 살펴보면 시스템 시작시 서비스 항목에 등록된 mzcomsujsvc.exe, wincomssvc.exe 2개의 프로세스가 자동으로 실행되어 메모리에 상주하는 것을 확인할 수 있습니다.

서비스 등록 정보를 확인해보면 Windows MineService Update Class, Windows MineService Diagnostics Service 2개의 항목이 존재하며, 사용자는 프로그램 삭제시 서비스(services.msc) 항목에 등록된 각 항목의 서비스 상태를 [중지] 시키시기 바랍니다.

프로그램 삭제시에는 서비스 중지 및 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [MozenComs] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\MozenComs
  • C:\WINDOWS\Temp\setup_c32024_1.1.10.0(1).exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{327E9D85-0CDC-46be-BA24-DC4E401BF209}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{127E9D85-0CDC-46BE-BA24-DC4E401BF209}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MozenComsc32024BHO.MozenComsc32024APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MozenComsc32024BHO.MozenComsc32024APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{227E9D85-0CDC-46BE-BA24-DC4E401BF209}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{327E9D85-0CDC-46be-BA24-DC4E401BF209}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.10.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.10.0


해당 프로그램은 인터넷 검색시 포털 사이트 광고 검색 영역을 임의로 변조하는 문제와 인터넷 검색 키워드 정보 및 사용자 시스템 정보 등이 외부에서 수집되어 활용될 수 있습니다.

또한 동일한 기능을 가진 프로그램이 다양한 이름으로 배포가 이루어지고 있으므로 원치 않게 설치된 분들은 참고하여 삭제를 하시기 바랍니다.