울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 모던플러스(ModernPlus) - ModenKuc

벌새::Analysis
국내를 상대로 제휴(스폰서) 프로그램 방식으로 배포가 이루어지고 있으며, 설치시 네이버(Naver), 다음(Daum), 네이트(Nate) 등 포털 사이트 광고 영역을 무단으로 변조하는 포털 사이트 콘텐츠 개인화 구성을 지원하는 모던플러스(ModernPlus) - ModenKuc 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 모던플러스(ModernPlus) 시리즈 프로그램으로 다양한 이름으로 배포가 이루어지고 있으므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ModenKuc
C:\Documents and Settings\All Users\시작 메뉴\프로그램\ModenKuc
C:\Documents and Settings\All Users\시작 메뉴\프로그램\ModenKuc\ModenKuc.lnk
C:\Program Files\ModenKuc
C:\Program Files\ModenKuc\homepage.url
C:\Program Files\ModenKuc\intro.url
C:\Program Files\ModenKuc\Log
C:\Program Files\ModenKuc\mdkucrun.exe :: 프로그램 실행 파일
C:\Program Files\ModenKuc\mdkucuj.dll :: BHO 등록 파일
C:\Program Files\ModenKuc\mdkucujnad.dll
C:\Program Files\ModenKuc\mdkucujsvc.exe :: Windows MineService Update Class 서비스 등록 파일
C:\Program Files\ModenKuc\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\ModenKuc\winkuc_uins.dat
C:\WINDOWS\system32\winkucsvc.exe :: Windows MineService Diagnostics Service 서비스 등록 파일
C:\WINDOWS\Temp\setup_c32015_1.1.10.0(1).exe


해당 프로그램은 [C:\Program Files\ModenKuc] 폴더에 주요 파일을 생성하며, Windows 시작시 서비스 항목에 등록된 [C:\Program Files\ModenKuc\mdkucujsvc.exe], [C:\WINDOWS\system32\winkucsvc.exe] 2개의 파일을 자동으로 실행하여 메모리에 상주하도록 구성되어 있습니다.

사용자가 ModenKuc 프로그램을 직접 실행할 경우 그림과 같이 다양한 포털 사이트 콘텐츠를 사용자의 선택에 따라 통합하여 재구성할 수 있도록 지원하고 있습니다.

하지만 해당 프로그램의 이용약관에서는 사용자 운영 체제(OS), 웹 브라우저 버전, Mac Address, 인터넷 검색 키워드 정보, 방문한 웹 사이트 정보 등을 수집하여 외부로 전송하는 기능이 포함되어 있으며, 이런 부분에 대해서는 설치시 사용자가 제대로 인지하지 못할 가능성이 높다고 판단됩니다.

특히 해당 프로그램이 설치된 환경에서 포털 사이트를 통한 인터넷 검색을 시도할 경우 정상적인 검색 결과와는 다른 결과를 제시하는 문제를 확인할 수 있습니다.

정상적인 네이트(Nate) 검색 결과

예를 들어 해당 프로그램이 설치되지 않은 환경에서 네이트닷컴(Nate.com)에서 검색을 시도할 경우 최상단에 "스폰서 링크 → 프리미엄 링크 → 스페셜 링크 → 프리미엄 매칭 → 비즈 클릭" 광고 영역이 순서대로 노출되는 것이 정상입니다.

하지만 ModenKuc 프로그램이 설치된 환경에서 동일한 키워드로 검색을 시도할 경우에는 원래의 광고 영역은 삭제되고 "시퀀스 링크" 광고로 대체되는 동작을 확인할 수 있습니다.

추가된 시퀀스 링크 광고에서는 "본 컨텐츠는 네이트에서 제공하지 않고, 개인화 서비스인 모덴쿡을 통해서 제공되는 검색 컨텐츠입니다."라고 표기되어 있습니다.

해당 시퀀스 링크에서 제시하는 광고 사이트는 특정 광고 코드가 포함되어 있으며, 이를 통해 접속하여 특정 조건을 만족시킬 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.

위와 같은 광고 바꿔치기 동작을 세부적으로 살펴보면 ① 사용자가 네이트(Nate) 검색을 통해 특정 키워드를 입력할 경우 ② 특정 서버로부터 시퀀스 링크 정보를 받아 광고를 노출하며 ③ 추가적으로 백그라운드 방식으로 사용자가 입력한 검색 키워드를 바탕으로 다음(Daum), 네이버(Naver), 구글(Google) 검색이 이루어지는 것을 확인할 수 있습니다.

이런 동작으로 인하여 사용자는 정상적인 포털 사이트 검색 결과를 확인할 수 없거나 변조된 사실을 알지 못하며, 백그라운드 방식의 검색 행위로 인하여 인터넷 속도에 문제가 발생할 수도 있으리라 판단됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : ModenKuc System
게시자 : USENET
CLSID : {37C80584-566A-45E7-8BBA-02D953F65732}
파일 : C:\Program Files\ModenKuc\mdkucuj.dll


해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 mdkucuj.dll 파일을 BHO 방식으로 추가하여 구현되며, 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 "ModenKuc System" 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 시스템 시작시 서비스 항목에 등록된 mdkucujsvc.exe, winkucsvc.exe 2개의 프로세스가 자동으로 실행되어 메모리에 상주하는 것을 확인할 수 있습니다.

서비스 등록 정보를 확인해보면 Windows MineService Update Class, Windows MineService Diagnostics Service 2개의 항목이 존재하며, 사용자는 프로그램 삭제시 서비스(services.msc) 항목에 등록된 각 항목의 서비스 상태를 [중지] 시키시기 바랍니다.

프로그램 삭제시에는 서비스 중지 및 Internet Explorer 웹 브라우저 종료 후 제어판의 [ModenKuc] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\ModenKuc
  • C:\WINDOWS\Temp\setup_c32015_1.1.10.0(1).exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{37C80584-566A-45e7-8BBA-02D953F65732}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{17C80584-566A-45E7-8BBA-02D953F65732}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ModenKucc32015BHO.ModenKucc32015APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ModenKucc32015BHO.ModenKucc32015APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{27C80584-566A-45E7-8BBA-02D953F65732}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\mdkucujsvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{37C80584-566A-45e7-8BBA-02D953F65732}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MineService
HKEY_LOCAL_MACHINE\SOFTWARE\MineService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MINESERVICE_DIAGNOSTICS_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS_MINESERVICE_UPDATE_CLASS*000D*000A1.1.10.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Diagnostics Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows MineService Update Class1.1.10.0


해당 프로그램은 인터넷 검색시 포털 사이트 광고 검색 영역을 임의로 변조하는 문제와 인터넷 검색 키워드 정보 및 사용자 시스템 정보 등이 외부에서 수집되어 활용될 수 있습니다.

또한 동일한 기능을 가진 프로그램이 다양한 이름으로 배포가 이루어지고 있으므로 원치 않게 설치된 분들은 참고하여 삭제를 하시기 바랍니다.