울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : ATL C++ Video Flash Activex Manager - QuickZone2

벌새::Analysis

유튜브(YouTube), 다음(Daum) TV팟, 네이버(Naver) 비디오와 같은 인터넷 동영상을 다운로드할 수 있도록 지원하는 다운로드 도우미 프로그램으로 알려진 "ATL C++ Video Flash Activex Manager - QuickZone2" 프로그램에 대해 살펴보도록 하겠습니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : ATL C++ Video Flash Activex Manager (2012.1.13)

 

해당 프로그램은 기존의 퀵존(QuickZone) 프로그램의 변형된 버전으로 추정되므로 프로그램의 기본적인 동작은 해당 링크 내용을 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2 :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\IEQZone.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QuickZone.exe :: 프로그램 실행 파일
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QuickZone.tlb
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QZDownMgr.dll
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\qznewver.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QZoneRemove.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QZUpdate.exe :: 시작 프로그램 등록 파일 

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성 폴더값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2" 폴더에 파일을 생성하며, Windows 시작시 qznewver.exe, QZUpdate.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

그 중 자동 실행된 QZUpdate.exe 파일은 특정 서버에 접속하여 업데이트를 체크하는 동작을 확인할 수 있으며, 실행 후 2분이 경과하면 자동으로 종료하도록 제작되어 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : IEQZoneCtrl Class
게시자 : Qzoneinteractive
유형 : 브라우저 도우미 개체
CLSID : {BEA50D29-A4D4-49CD-81DE-A506F57363DC}
파일 : C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\IEQZone.dll

 

해당 프로그램은 사용자가 Internet Explorer 웹 브라우저를 통해 특정 동영상이 재생될 경우, 브라우저 도우미 개체(BHO)로 등록된 IEQZone.dll 파일이 동영상 정보를 체크하여 웹 브라우저 우측 상단에 화살표 모양의 다운로드 버튼을 생성하여 ATL C++ Video Flash Activex Manager 프로그램(QuickZone.exe)이 동작하도록 구성되어 있습니다.

 

이런 다운로드 과정에서 생성된 다운로드 창에서는 추가적인 제휴(스폰서) 프로그램이 추가될 수 있을 것으로 추정됩니다.

 

그러므로 이런 동작을 원치 않는 경우에는 웹 브라우저 추가 기능 관리에 등록된 "IEQZoneCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 QuickZone.exe, qznewver.exe 2개의 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

특히 프로그램 삭제시 qznewver.exe 프로세스를 종료하지 않고 삭제를 진행할 경우, 시스템 시작시마다 시작 프로그램으로 등록된 qznewver.exe 파일이 자동으로 실행되어 동작하는 모습을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "ATL C++ Video Flash Activex Manager" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {C2DB67BF-DAD4-48E9-807A-C85C847E28EE}
HKEY_CURRENT_USER\Software\QuickZone
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{59160DCB-EA10-4FA9-9387-852CCC14153E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{833FBA4C-7950-49D8-85FE-E2E653155A60}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\IEQZone.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\QZDownMgr.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEA50D29-A4D4-49CD-81DE-A506F57363DC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C2DB67BF-DAD4-48E9-807A-C85C847E28EE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F444B87D-7874-4341-8745-2973445CC4D5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEQZone.IEQZoneCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IEQZone.IEQZoneCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5C8911E3-D947-4083-B7F0-E949CA22B0F9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8E9B5F5A-17F4-4106-85C1-59BA2EB4CFA5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A5F543A0-A1D5-401C-889C-F88BB7413D83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QuickZone.QuickZoneUrlReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QuickZone.QuickZoneUrlReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QZDownMgr.QuickZoneDownloadMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\QZDownMgr.QuickZoneDownloadMgr.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{66E0F23A-F673-43B5-AD4C-91C1632C4DD1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8E763F5F-5C6C-4FA2-84DE-06C89922EF44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C1921C67-B77F-468F-8518-0C1B53E0526B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - DownloadUI = {C2DB67BF-DAD4-48E9-807A-C85C847E28EE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{63A83181-2422-40cb-B433-AD18E4E2A420}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{BEA50D29-A4D4-49CD-81DE-A506F57363DC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - QuickZoneUD = C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\QZUpdate.exe
 - QZNewVer = C:\Documents and Settings\(사용자 계정)\Application Data\QuickZone2\qznewver.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
QuickZone

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램의 이름이 폴더명과 완전히 다른 관계로 프로그램 삭제시 어려움이 예상됩니다.

 

이번 버전의 경우 기존 버전과는 다르게 실제 동영상 다운로드 동작을 확인할 수 없으며(※ 해당 문제는 시스템 환경에 따라 다를 수 있습니다.), 업데이트 기능이 존재한다는 문제는 차후 추가적인 프로그램이 포함될 수 있는 문제가 존재하므로 주의하시기 바랍니다.