검색 도우미 : mcpack + MultiCode

인터넷 검색시 웹 브라우저 상단에 멀티코드(MultiCode) 툴바(Toolbar) 광고를 생성하는 검색 도우미 "mcpack + MultiCode" 프로그램에 대해 살펴보도록 하겠습니다.

• 검색 도우미 : 툴온(ToolOn) - ToolOnNY + Microsolution (2011.3.16)

• 검색 도우미 : 플러스라인(PlusLine) - PlusLineGo + MicroOn (2011.11.24)

• 검색 도우미 : 티즈업(Tzup) (2011.12.24)

• 검색 도우미 : 스마트바(SmartBar) - Smart Live Software 2010 (2011.12.27)

해당 프로그램은 기존의 유사성이 강한 다양한 이름의 변종 프로그램이 존재하였으므로 참고하시기 바랍니다.

프로그램의 설치 과정을 우선 살펴보면 ① 설치 파일을 통해 "C:\Program Files\mcpack" 폴더에 mcpack 프로그램을 생성한 후, 특정 서버로부터 멀티코드(MultiCode) 프로그램의 설치를 위한 설치 파일을 다운로드하도록 구성되어 있습니다.

• h**p://**.multi****.co.kr/multicodeSetup.exe (MD5 : 0496d42a2806195b7bf60c37431737c0)

② 다운로드된 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\multicodeSetup.exe" 위치에 생성되어 "C:\Program Files\MultiCode" 폴더에 MultiCode 프로그램을 설치한 후 자가 삭제됩니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\multicode
C:\Documents and Settings\(사용자 계정)\Application Data\multicode\pdad.dat
C:\Documents and Settings\(사용자 계정)\Application Data\multicode\pdkeyword.dat
C:\Documents and Settings\All Users\시작 메뉴\프로그램\mcpack.lnk
C:\Program Files\mcpack
C:\Program Files\mcpack\mcpack_se.exe :: mcpack Support Service 서비스 등록 파일
C:\Program Files\mcpack\mcpack_updater.exe
C:\Program Files\mcpack\mcpack.dat
C:\Program Files\mcpack\mcpack.exe
C:\Program Files\MultiCode
C:\Program Files\MultiCode\ADPopupMC.dll :: BHO 등록 파일
C:\Program Files\MultiCode\MCUninstall.exe :: MultiCode 프로그램 삭제 파일
C:\Program Files\MultiCode\MultiCode.dll :: BHO 등록 파일
C:\Program Files\MultiCode\MultiCodeUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\MultiCode\multihelp.exe :: 메모리 상주 프로세스
C:\WINDOWS\mcpack_uninstaller.exe :: mcpack 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\MultiCode\ADPopupMC.dll
 - MD5 : 07b89b85fc603673bcad2ed6deb08659
 - AhnLab V3 : Win-PUP/Helper.PlusLine.92248.C (VirusTotal : 2/43)

Windows 시작시 서비스에 등록된 "mcpack Update Service(mcpack Support Service)" 항목을 통해 "C:\Program Files\mcpack\mcpack_se.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

실행된 mcpack_se.exe 파일은 다음(Daum) 서버에 쿼리 전송을 통해 인터넷 연결을 체크하며, mcpack 프로그램의 버전을 체크한 후 서비스 중지 상태를 유지합니다.

또한 멀티코드(MultiCode) 프로그램은 Windows 시작시 MultiCodeUpdate.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크 및 "addown.plusline.co.kr" 광고 서버에 연결을 시도하며 multihelp.exe 파일을 메모리에 상주시킵니다.

해당 프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우, 자동으로 "addown.plusline.co.kr" 광고 서버에 연결하여 버전 체크 및 멀티코드(MultiCode) 서버에서 업데이트 체크를 하는 것을 확인할 수 있습니다.

인터넷 검색시 키워드 감시를 통해 웹 브라우저 상단에 입력한 검색어를 기반으로 한 G마켓, 옥션, 11번가 바로가기 및 추천 검색어 관련 광고 툴바가 생성되는 동작을 확인할 수 있습니다.

추천 검색어 광고를 클릭할 경우 특정 광고 코드(click.interich.com)를 포함한 상태로 G마켓으로 연결이 이루어지는 것을 확인할 수 있습니다.

또한 주소 표시줄에 11번가, 옥션, G마켓과 같은 특정 쇼핑몰 검색어를 입력할 경우, 추가적인 창을 통해 해당 인터넷 쇼핑몰로 자동으로 연결이 이루어지는 과정에서 광고 코드를 추가하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : AdPopupB
게시자 : (주)인아이티원
유형 : 브라우저 도우미 개체
CLSID : {397CFDD8-762F-44D4-9517-E3969F89639E}
파일 : C:\Program Files\MultiCode\ADPopupMC.dll

이름 : PDreamB Class
게시자 : (주)인아이티원
유형 : 브라우저 도우미 개체
CLSID : {672C7A78-2CF8-4DE0-B015-24DA815EFDFA}
파일 : C:\Program Files\MultiCode\MultiCode.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 ADPopupMC.dll, MultiCode.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고 생성을 하도록 구성되어 있습니다.

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "AdPopupB, PDreamB Class" 2개의 브라우저 도우미 개체 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저 종료 및 Windows 작업 관리자에서 multihelp.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "mcpack" 삭제 항목과 "MultiCode Uninstall" 삭제 항목을 이용하여 삭제하실 수 있으며, "MultiCode Uninstall" 삭제 항목의 경우 삭제 과정에서 제시되는 4자리 문자를 입력해여 삭제를 진행하실 수 있습니다.

참고로 Windows 7 운영 체제의 경우 해당 문자를 정상적으로 입력하여도 삭제가 이루어지지 않는 문제가 일부 확인되며, 이런 경우에는 반복적으로 삭제 버튼을 클릭하여 생성되는 문자를 입력하는 과정에서 삭제가 되는 것으로 보입니다.(※ 생성되는 문자가 4자리 숫자의 경우 삭제에 성공하였습니다.)

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\MultiCode
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{672C7A78-2CF8-4DE0-B015-24DA815EFDFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1FB9A745-1496-4DA4-92E9-CBA7BBD228C5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{88F1E09F-3F83-42C5-9277-3CD45D52B891}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MultiCode.PDreamB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MultiCode.PDreamB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{28F159A4-CDEB-464C-94E2-4E5B1CC16BC7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7BA6DF99-65C4-4135-8FF2-6AECC28D0AAF}
HKEY_LOCAL_MACHINE\SOFTWARE\mcpack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\mcpack_updater
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
 - mutico = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{672C7A78-2CF8-4DE0-B015-24DA815EFDFA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - MultiCodeUpdate = C:\Program Files\MultiCode\MultiCodeUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
mcpack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
multicode
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MCPACK_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mcpack Update Service

해당 프로그램은 설치 과정에서 사용자가 인지하지 못하는 추가적인 프로그램 설치를 통해 차후 프로그램 삭제시 2개의 프로그램 중 하나는 삭제하지 않는 경우가 발생할 수 있으므로 주의하시기 바랍니다.