출처를 알 수 없는 파일을 통해 국내에서 제작된 검색 도우미 "Internet gold-bar Client" 프로그램을 사용자 몰래 설치하는 것으로 추정되는 "elcnt Library" 프로그램에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Internet gold-bar Client (2012.6.17)
해당 프로그램의 설치 파일(MD5 : cdab5fbbc3905e5b9f1f0b00293430f6)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Gold-Bar.147334 (VirusTotal : 22/41) 진단명으로 진단되고 있습니다.
C:\Program Files\gbncount
C:\Program Files\gbncount\gb_uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\gbncount\gbmcnt.exe
C:\WINDOWS\gbervc.exe :: gbcounting services. 서비스 등록 파일
해당 프로그램은 "C:\Program Files\gbncount" 폴더에 파일을 생성하며, 프로그램 설치 과정에서 다음과 같은 연결을 확인할 수 있습니다.
"elcnt Library" 프로그램은 "Internet gold-bar Client" 검색 도우미 설치 파일(MD5 : 6c4d678a657014f07052fac9a7d4f981)을 사용자 몰래 추가적으로 다운로드하여 설치가 진행되며, 추가적으로 사용자 Mac Address 값을 이용한 설치 카운터(Counter)를 체크합니다.(※ 현재 시점에서는 추가적인 다운로드가 정상적으로 이루어지지 않고 있지만, 실제적으로 배포가 이루어졌던 2012년 6월 하순경에는 Internet gold-bar Client 검색 도우미 프로그램이 설치되었을 것으로 보입니다.)
해당 프로그램은 "gbcounting service(gbcounting services.)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\gbervc.exe" 파일을 자동으로 실행하여 동작 카운터(Counter) 체크를 합니다.
GET /gbcountb.xml HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729;InfoPath.2)
Host: www.lmservice.co.kr
Connection: Keep-Alive
참고로 "C:\Program Files\gbncount\gbmcnt.exe" 파일은 "사용자 계정"이라는 파일 속성값을 가진 카운터(Counter) 체크 기능을 수행합니다.
또한 이 과정에서 일부 환경에서는 시스템 시작시 gbervc.exe 파일 관련 오류창이 생성되는 문제를 경험할 수도 있으리라 판단됩니다.
프로그램 삭제는 제어판의 "elcnt Library ." 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\gbmcnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\elcnt Library
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GBCOUNTING_
SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gbcounting service
해당 프로그램은 "Internet gold-bar Client" 검색 도우미를 배포할 목적으로 제작되었던 것으로 추정되며, 비록 현재 시점에서는 추가적인 다운로드가 이루어지지 않지만 안전을 위해서는 반드시 설치된 프로그램을 제거하시고 PC를 이용하시기 바랍니다.