추가적인 수익성 프로그램을 설치할 목적으로 정확한 프로그램의 기능을 알 수 없는 방식으로 배포가 이루어지고 있는 System number dir 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : fb3a5e63189f93694102f019f1dc0077)을 통한 수동 설치 과정 중 제시되는 이용약관에서는 "wordcntii 프로그램"을 설치한다고 표시되어 있지만 사용자 입장에서는 어떤 기능을 하는지 알 수가 없습니다.
프로그램 설치 과정에서는 특정 서버에 설치 PC의 Mac Address 정보 체크 및 추가적인 번들(Bundle) 프로그램을 확인하여 등록된 수익성 프로그램이 존재할 경우 다음과 같은 "프로그램 업데이트" 창이 생성되는 동작을 확인할 수 있습니다.
해당 업데이트 창에서는 "업데이트 권장 프로그램"으로 등록된 다수의 수익성 프로그램이 기본값으로 체크되어 있으며, 사용자가 모든 항목의 체크 해제를 한 후 "항목 설치하기" 버튼을 클릭할 경우에는 프로그램 설치없이 자동으로 종료가 이루어집니다.
만약 체크 해제 여부와 상관없이 업데이트 창의 우측 상단에 존재하는 "닫기(X)" 버튼을 클릭할 경우에는 "업데이트가 남았습니다. 업데이트를 하시고 종료하겠습니까?" 메시지 창이 생성되는 동작을 확인할 수 있습니다.
이 상황에서 앞선 수익성 프로그램의 체크를 해제하지 않은 상태에서 "예(Y)" 버튼을 클릭할 경우 자동으로 설치가 이루어지며, "아니오(N)" 버튼을 클릭할 경우 자동으로 종료됩니다.
반대로 수익성 프로그램의 체크를 모두 해제한 상태에서 "예(Y)" 버튼을 클릭할 경우 업데이트 창이 1회 더 생성되어 설치를 요구하는 동작을 확인할 수 있습니다.
그러므로 해당 프로그램을 비롯하여 이런 방식의 수익성 프로그램을 추가한 경우에는 꼼꼼하게 등록된 수익성 프로그램의 체크 해제를 반드시 하시고 종료하시는 것이 가장 안전합니다.
C:\Program Files\Win number dir
C:\Program Files\Win number dir\cntjard.exe
C:\Program Files\Win number dir\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Win number dir\Worddiring.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\Win number dir\worddirsvc.exe :: 시작 프로그램 등록 파일
C:\Program Files\Win number dir\worddirsvc.exe
- MD5 : 30302a6ad3ff1144f68bfbba580a0e28
- AhnLab V3 : Adware/Win32.KorAd (VirusTotal : 3/42)
해당 프로그램은 "C:\Program Files\Win number dir" 폴더에 파일을 생성하며, Windows 시작시 worddirsvc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 worddirsvc.exe 파일은 앞서 언급한 Mac Address 체크 및 번들(Bundle) 프로그램 체크 기능을 통해 추가적인 수익성 프로그램의 설치를 유도하는 동작을 합니다.
설치된 System number dir 프로그램 폴더를 살펴보면 사용자가 수동으로 "C:\Program Files\Win number dir\Worddiring.exe" 파일을 실행할 경우 "글자수 세기 프로그램"이 실행되는 것을 확인할 수 있습니다.
▷ 제휴(스폰서) 프로그램 : System count Lab (2012.3.25)
▷ 제휴(스폰서) 프로그램 : System count Library (2012.3.26)
해당 글자수 세기 프로그램을 이용한 배포 방식은 기존에도 유사한 방식이 확인되었으며, 이러한 배포 방식은 인터넷 상에 공개된 유용한 프로그램(윈도우 자동 종료 프로그램 등)을 설치하도록 하여 설치된 프로그램의 업데이트 기능을 통해 수익성 프로그램을 배포하는 방식으로 추정됩니다.
프로그램 삭제는 제어판의 "System number dir ." 삭제 항목을 통해 삭제할 수 있으며, 이 과정에서 "C:\Program Files\Win number dir\cntjard.exe" 파일은 삭제 PC의 Mac Address 정보를 체크하는 동작을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Win number dir = C:\Program Files\Win number dir\worddirsvc.exe
HKEY_CURRENT_USER\Software\worddirje
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Worddiring.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Win number dir = C:\Program Files\Win number dir\worddirsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
System number dir
참고로 테스트 시점에서 추가적으로 설치가 될 수 있는 번들(Bundle) 프로그램 정보는 다음과 같으므로, 만약 이들 프로그램이 설치된 경우에는 내용을 참고하여 삭제하시기 바랍니다.
(1) 검색 도우미 : UtilZone (2012.3.20)
해당 프로그램(MD5 : 7dbacaadfb63d285c6ccf6b951ae686d)은 인터넷 검색시 웹 브라우저 상단에 광고바를 생성하는 기능을 합니다.
(2) 검색 도우미 : WinPro (2012.3.21)
해당 프로그램의 설치 파일(MD5 : dbed6e1d68535b1f935f7b0323ab9088)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 5/41) 진단명으로 진단되고 있습니다.
(3) 검색 도우미 : 위즈서치(WizSearch) - WizSearch Class (2011.4.6)
해당 프로그램의 설치 파일(MD5 : 0005418e065269c1b99121bb17a09b5f)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.WizSearch.66152.A (VirusTotal : 18/42) 진단명으로 진단되고 있습니다.
(4) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
해당 프로그램(MD5 : bef16808da4adc252b549749874a9a2f)은 파일함(Fileham) 웹하드 회원 가입 유치 목적의 광고 프로그램입니다.
(5) 검색 도우미 : Win shopping icon guide (2011.11.30)
해당 프로그램의 설치 파일(MD5 : 52106d1db809fcd4535dd9d09f9b111d)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.163800 (VirusTotal : 6/42) 진단명으로 진단되고 있습니다.
(6) 검색 도우미 : IETab (2012.3.20)
해당 프로그램(MD5 : 769fee6c97af518cd59b1b0c2f6520e0)은 인터넷 검색시 광고창 및 withMATCH 광고창을 생성하는 동작을 합니다.
이들 프로그램의 삭제는 제어판의 "파일함탐색기", "IETab", "UtilZone", "Win shopping icon guide", "WinPro", "WizSearch" 삭제 항목을 이용하여 삭제할 수 있습니다.
이번 프로그램과 같이 출처를 알 수 없는 프로그램을 통해 다양한 종류의 수익성 프로그램이 업데이트 창을 통해 설치를 유도하는 경우가 많으므로 프로그램 설치 과정 또는 사용 과정에서 유사한 창이 생성될 경우에는 추가된 프로그램의 유무를 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.