울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : uTorrentBar_KR Toolbar

벌새::Analysis
토렌트(Torrent) 공유 프로그램으로 유명한 µTorrent 프로그램을 설치하는 과정에서 추가적으로 포함되는 제휴(스폰서) 프로그램 "µTorrent Browser Bar - uTorrentBar_KR Toolbar" 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램은 µTorrent 프로그램을 설치하는 과정에서 옵션으로 설치가 되도록 배포가 이루어지고 있으며, 사용자가 해당 체크 박스를 해제하고 설치를 진행할 경우 설치가 되지 않는 프로그램입니다.

일부 인터넷 사용자들 중에서 프로그램 설치창 또는 파일 다운로드 창에 추가된 추가적인 프로그램에 대해 꼼꼼하게 살펴보지 않고 무조건 설치를 진행할 경우 원치 않는 프로그램으로 인하여 PC 속도 저하, 오류 발생, 사용자 몰래 추가적인 프로그램 설치 등 다양한 문제가 발생할 수 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\PriceGong
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Conduit
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\uTorrentBar_KR
C:\Program Files\Conduit
C:\Program Files\Conduit\Community Alerts
C:\Program Files\Conduit\Community Alerts\Alert.dll
C:\Program Files\uTorrentBar_KR
C:\Program Files\uTorrentBar_KR\GottenAppsContextMenu.xml
C:\Program Files\uTorrentBar_KR\ldrtbuTor.dll
C:\Program Files\uTorrentBar_KR\OtherAppsContextMenu.xml
C:\Program Files\uTorrentBar_KR\prxtbuTor.dll :: BHO 등록 파일
C:\Program Files\uTorrentBar_KR\SharedAppsContextMenu.xml
C:\Program Files\uTorrentBar_KR\tbuTor.dll
C:\Program Files\uTorrentBar_KR\toolbar.cfg
C:\Program Files\uTorrentBar_KR\ToolbarContextMenu.xml
C:\Program Files\uTorrentBar_KR\uninstall.exe :: uTorrentBar_KR Toolbar 프로그램 삭제 파일
C:\Program Files\uTorrentBar_KR\uTorrentBar_KRToolbarHelper.exe

해당 프로그램은 "C:\Program Files\Conduit" 폴더와 "C:\Program Files\uTorrentBar_KR" 폴더를 생성하여 파일을 추가하며, Internet Explorer 웹 브라우저 동작시 구현되도록 구성되어 있습니다.

우선 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스 하위에 "uTorrentBar_KRToolbarHelper.exe" 프로세스가 일시적으로 생성되어 툴바 생성 등의 동작을 시킨 후 자동으로 종료됩니다.

이 과정에서 웹 브라우저 초기 실행 속도 저하 등의 문제가 발생할 수 있습니다.

Internet Explorer 웹 브라우저를 실행할 경우 "기본 검색 공급자"가 기본값에서 "uTorrentBar_KR Customized Web Search" 값으로 변경을 시도하는 것을 확인할 수 있습니다.

웹 브라우저 모습을 확인해보면 시작 페이지는 사용자가 지정한 홈 페이지에서 "Conduit Search"로 지정된 특정 해외 사이트(search.conduit.com/?SearchSource=10&ctid=CT3015572)로 변경이 되어 있습니다.

또한 도구 모음에 "uTorrentBar_KR Toolbar" 프로그램을 추가하여 툴바(Toolbar)가 실행되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : uTorrentBar_KR API Server
게시자 : Conduit Ltd.
유형 : ActiveX 컨트롤
CLSID : {39D5460F-E37C-414B-B9C1-3C40286797B7}
파일 : C:\Program Files\uTorrentBar_KR\prxtbuTor.dll

이름 : uTorrentBar_KR Toolbar
게시자 : Conduit Ltd.
유형 : 도구 모음
CLSID : {03EA5B10-2EFA-4311-AC10-04427B02D663}
파일 : C:\Program Files\uTorrentBar_KR\prxtbuTor.dll

이름 : uTorrentBar_KR Toolbar
게시자 : Conduit Ltd.
유형 : 브라우저 도우미 개체
CLSID : {03EA5B10-2EFA-4311-AC10-04427B02D663}
파일 : C:\Program Files\uTorrentBar_KR\prxtbuTor.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 prxtbuTor.dll 파일을 브라우저 도우미 개체(BHO) 및 도구 모음에 툴바(Toolbar)로 등록하여 동작하도록 구성되어 있습니다.

또한 검색 공급자에 "uTorrentBar_KR Customized Web Search" 값을 등록하여 검색시 구글(Google) 엔진으로 제작된 "Conduit Search" 검색을 할 수 있도록 변경될 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "uTorrentBar_KR Toolbar" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\Application Data\PriceGong
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Conduit
C:\Program Files\Conduit
C:\Program Files\Conduit\Community Alerts
C:\Program Files\Conduit\Community Alerts\Alert.dll
[생성 / 변경 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit
HKEY_CURRENT_USER\Software\Conduit
HKEY_CURRENT_USER\Software\ConduitSearchScopes
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 시작 페이지 URL) :: 변경 전
 - Start Page = http://search.conduit.com?SearchSource=10&ctid=CT3015572 :: 변경 후
 - Use Search Asst = no :: 추가
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {사용자 지정 검색 공급자 값} :: 변경 전
 - DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TabbedBrowsing
 - NewTabPageShow = 1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 - {03EA5B10-2EFA-4311-AC10-04427B02D663}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {03ea5b10-2efa-4311-ac10-04427b02d663}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Zoom
 - ZoomFactor = 186a0
HKEY_CURRENT_USER\Software\PriceGong
HKEY_CURRENT_USER\Software\uTorrentBar_KR
HKEY_CURRENT_USER\Toolbar
HKEY_CURRENT_USER\Toolbar\RegisteredSources
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03EA5B10-2EFA-4311-AC10-04427B02D663}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39D5460F-E37C-414B-B9C1-3C40286797B7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Toolbar.CT3015572
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0A0D4529-5505-4CEC-A9D4-D8152D12A0C4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5F6A0BA5-4125-470B-A3F4-E63ECA0AC54A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {03ea5b10-2efa-4311-ac10-04427b02d663} = uTorrentBar_KR Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{03ea5b10-2efa-4311-ac10-04427b02d663}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
uTorrentBar_KR Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\uTorrentBar_KR

※ 레지스트리 편집기(regedit)를 실행하여 프로그램 설치로 인해 변경된 값(변경 후)은 "변경 전" 값으로 수정하시기 바라며, "추가" 값은 삭제를 하시기 바랍니다.

프로그램 삭제 이후에는 인터넷 옵션을 열어 "일반 → 홈 페이지"에 등록된 시작 페이지 주소(search.conduit.com/?SearchSource=10&ctid=CT3015572)를 사용자가 원하는 주소로 수정하시기 바랍니다.

또한 웹 브라우저 추가 기능 관리를 실행하여 검색 공급자에 등록된 "uTorrentBar_KR Customized Web Search" 값을 제거하기 위해서는, 설치 이전에 등록된 항목(예, Bing)을 선택한 후 "기본값으로 설정" 버튼을 클릭하시기 바랍니다.

그 후 "uTorrentBar_KR Customized Web Search" 값을 선택하여 "제거" 버튼을 클릭하시면 검색 공급자에 등록된 부분이 프로그램 설치 이전으로 변경됩니다.

해당 프로그램의 경우 사용자들이 프로그램 설치시 제대로 확인하지 않고 설치하는 습관으로 인하여 설치가 이루어지는 것으로 보이므로, 프로그램 설치시에는 꼼꼼하게 살펴서 원치 않는 프로그램은 체크 해제를 하거나 필수적으로 설치가 되는 경우에는 프로그램을 설치하지 않도록 하는 습관을 가지시기 바랍니다.