본문 바로가기

벌새::Analysis

CPU-Z 한글판을 이용한 "사용자 업데이트 컨트롤(User dnControler manager)" 유포 주의 (2012.8.26)

국내에서는 수익성 프로그램의 배포를 목적으로 정상적인 소프트웨어의 설치 파일을 변경하여 설치 과정에 업데이트(다운로드) 기능을 가진 프로그램을 설치하는 사례가 지속적으로 늘어나고 있는 것으로 보입니다.

 

특히 유명 소프트웨어 홈 페이지와 유사한 도메인을 이용하여 사용자에게 혼동을 유발하는 사례도 있으며, 이번 시간에는 CPU-Z 한글판을 이용하여 배포되는 사례를 살펴보도록 하겠습니다. 

배포 사이트를 살펴보면 "CPU-Z 한글 버전 다운로드" 홈 페이지를 제작하여 설치 파일을 다운로드할 수 있도록 구성되어 있습니다. 

  • h**p://www.**link.co.kr/download/cpu-z_1.56-32bits.exe (MD5 : 1267525d040d53b259f8dc4fd2c4adc4) - AhnLab V3 : ASD.Prevention (VirusTotal : 1/42)

실제 파일을 다운로드해보면 국내 특정 도메인을 통해 다운로드되는 것을 확인할 수 있으며, 해당 도메인은 기존에 수익성 프로그램 및 악성코드 유포에 활용되었던 것으로 파악되고 있습니다. 

참고로 다운로드된 파일의 속성값을 확인해보면 "파일 설명 : 4us multimedia, 제품 이름 : 4us controler"로 등록되어 있으며, "UKEYPAD" 디지털 서명이 포함되어 있는 것이 특징입니다. 

다운로드된 파일을 실행하면 그림과 같은 사용자 동의 단계를 거쳐서 설치가 이루어지는 정상적인 프로그램의 형태를 갖추고 있습니다.

 

하지만 이용약관 하단에는 "사용자 업데이트 컨트롤"이 기본값으로 체크되어 있으며, 사용자는 해당 기능이 정확하게 어떤 기능을 하는지 알 수 없습니다. 

동의를 통해 설치가 이루어지면 국내 특정 광고 서버로부터 CPU-Z 정상 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\My Documents\cpu-z_1.56-32bits-kr.exe" 위치에 다운로드하는 동작을 확인할 수 있습니다. 

다운로드된 파일은 자동으로 실행되어 그림과 같은 CPU-Z 화면을 표시하여 사용자는 별다른 의심을 하지 않습니다.

 

이런 설치 과정에서 추가적으로 사용자가 동의한 "사용자 업데이트 컨트롤" 항목을 통해 무엇이 추가되는지 확인해 보도록 하겠습니다. 

  • h**p://**link.co.kr/download/UDnCons.exe (MD5 : f320f70660481dd5bc59640a40859f57)

CPU-Z 설치 과정에서 추가적으로 특정 서버로부터 UDnCons.exe 파일을 다운로드하는 동작을 확인할 수 있습니다.

 

[생성 폴더 / 파일 등록 정보 : User dnControler manager 프로그램]

 

C:\Program Files\UDnControl
C:\Program Files\UDnControl\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\UDnControl\USRCon.exe
C:\Program Files\UDnControl\usrsvc.exe :: User dnControler manager 서비스 등록 파일

해당 프로그램은 "C:\Program Files\UDnControl" 폴더에 파일을 생성하며, "USRCon(User dnControler manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\UDnControl\usrsvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다. 

이를 통해 특정 서버에 접속하여 업데이트 체크를 통해 추가된 파일이 존재할 경우, 업데이트 창 생성을 통한 설치 유도 행위가 이루어질 것으로 추정됩니다.

 

특히 최근의 추세를 본다면 업데이트 창이 생성된 경우 "닫기(X)" 버튼을 제공하지 않는 사례가 발견되고 있으므로, 이 프로그램의 경우에는 Windows 작업 관리자에서 USRCon.exe 프로세스를 찾아 수동으로 종료하는 방식으로 업데이트 창을 강제로 종료할 수 있습니다. 

프로그램 삭제는 제어판의 "User dnControler manager ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보 : User dnControler manager 프로그램]

 

HKEY_CURRENT_USER\Software\udncontrol
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\USRCon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\User dnControler manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_USRCON
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\USRCon

해당 프로그램이 설치된 일부 환경에서는 시스템 시작시 그림과 같은 USRCon.exe 오류창이 생성되는 것으로 보이므로, 반드시 해당 프로그램을 찾아서 삭제를 하시는 것이 차후 원치 않는 추가적인 프로그램이 설치되는 것을 예방할 수 있습니다.

 

또한 프로그램 다운로드는 반드시 공식 홈 페이지를 이용하시기 바라며, 설치 과정에서도 추가적으로 설치되는 구성 요소가 존재한지 꼼꼼하게 살피시기 바랍니다.