본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : 네오코덱(NeoCodec) - neocodec ver 1.5.3

통합코덱 프로그램으로 설치를 유도하여 추가적인 제휴(스폰서) 프로그램을 설치 유도하는 것으로 추정되는 "네오코덱(NeoCodec) - neocodec ver 1.5.3" 프로그램에 대해 살펴보도록 하겠습니다.

  국내 악성코드 : Win-Adware/TCodecLite.979425 (AhnLab V3) (2010.12.8)

  [삭제] G통합코덱(gCodec) (2011.1.27)

  [삭제] T-통합코덱(T-Codec) : TCodecLite2 (2011.1.29)

  [삭제] S통합코덱(SCodec) : Windows SCodec Lite (2011.2.10)

  제휴(스폰서) 프로그램 : 리얼코덱(RealCodec) - RealCodec Mpeg Filter (2011.12.12)

해당 프로그램은 기존의 통합코덱으로 소개되어 추가적인 제휴(스폰서) 프로그램을 업데이트 창을 통해 설치 유도하였던 유사한 방식이 존재하였으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\mcodec
C:\Program Files\mcodec\drwxr-xr-x    2 503      503          4096 Feb 07 1033 AC3Filter
C:\Program Files\neocodec
C:\Program Files\neocodec\neocodec.exe :: 시작 프로그램 등록 파일
C:\Program Files\neocodec\uninstall_codec.exe :: 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\neocodec\uninstall_codec.exe
 - MD5 : 85da39b123fb8d4b60c2ee7842f053d7
 - nProtect : Trojan/W32.Agent.536064.BI (VirusTotal : 26/43)

해당 프로그램은 "C:\Program Files\mcodec", "C:\Program Files\neocodec" 2개의 폴더에 파일을 생성하며, mcodec 폴더에는 코덱 기능 관련 파일을 생성할 수 있으며, neocodec 폴더에는 업데이트 기능을 담당하고 있습니다.

Windows 시작시 "C:\Program Files\neocodec\neocodec.exe" 파일을 시작 프로그램으로 등록하여 다음과 같은 연결 동작을 확인할 수 있습니다.

① 네이버(Naver)에 쿼리를 전송하여 인터넷 연결을 체크하며 ② 네오코덱(NeoCodec) 서버에서 코덱 필터(Filter) 파일을 체크합니다.

여기에서 체크되는 필터는 dtsac3source.ax, ac3filter.ax 파일이지만 실제 사용자 PC에 생성되는 동작은 발견되지 않고 있습니다.

③ 그 후 다른 특정 코덱 서버에 연결하여 프로그램 업데이트 등을 체크하는 과정에서 업데이트 창(예, Total mcodec update)을 생성하여 추가적인 제휴(스폰서) 프로그램을 설치 유도할 수 있으리라 판단됩니다.

이렇게 설치된 네오코덱(NeoCodec) 프로그램의 코덱 기능과 관련된 폴더(C:\Program Files\mcodec\drwxr-xr-x    2 503      503          4096 Feb 07 1033 AC3Filter)를 확인해보면 어떠한 코덱 파일도 존재하지 않는 것을 확인할 수 있습니다.

프로그램 삭제는 제어판의 "neocodec ver 1.5.3" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더를 수동으로 삭제하시기 바랍니다.
  • C:\Program Files\mcodec
  • C:\Program Files\mcodec\drwxr-xr-x    2 503      503          4096 Feb 07 1033 AC3Filter
  • C:\Program Files\neocodec

해당 프로그램의 삭제 파일(C:\Program Files\neocodec\uninstall_codec.exe)에 대하여 국내외 다수의 백신 프로그램에서 악성 파일로 진단하고 있으므로, 삭제 파일이 삭제되어 제어판을 통한 삭제가 불가능한 경우에는 수동으로 생성 폴더, 파일, 레지스트리 정보를 참고하여 삭제를 하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\mCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - neocodec.exe = C:\Program Files\neocodec\neocodec.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uninstall_codec.exe


해당 프로그램은 코덱 기능이 존재하지 않거나 통합코덱 본연의 기능을 만족시키지 않는 프로그램으로 보이며, 프로그램 설치로 인하여 시스템 시작 과정에서 업데이트 창 생성을 통해 추가적인 광고성 프로그램을 설치하도록 할 목적이므로 주의하시기 바랍니다.