울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Xecure speller Application

벌새::Analysis

마우스 우클릭을 차단하여 무단 복사를 방지하는 웹 페이지를 복사할 수 있도록 지원하는 "Xecure speller Application" 프로그램에 대해 살펴보도록 하겠습니다.

 

프로그램의 설치 파일(MD5 : 7e9e65962e11e331b42bf175d43a99a9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Speller (VirusTotal : 8/42) 진단명으로 진단되고 있습니다. 

   제휴(스폰서) 프로그램 : Windows RightClick Copy (2012.4.1)

 

해당 프로그램은 기존의 동일한 기능을 제공하며 추가적인 업데이트 창을 생성하여 다수의 수익성 프로그램의 설치를 유도하던 "라클(Windows RightClick Copy)" 프로그램의 변형된 버전으로 보이므로 참고하시기 바랍니다.

 

또한 해당 프로그램은 일반적으로 보안 솔루션에서 사용하는 "Xecure"라는 문구를 포함하고 있으므로 혼동하지 않도록 주의하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Speller
C:\Program Files\Speller\SpellerCtrl.dll
C:\Program Files\Speller\SpellerSvc.exe :: 시작 프로그램 등록 파일
C:\Program Files\Speller\SpellerUninst.exe :: 프로그램 삭제 파일
C:\Program Files\Speller\temp

 

해당 프로그램은 "C:\Program Files\Speller" 폴더에 파일을 생성하며, Windows 시작시 SpellerSvc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 SpellerSvc.exe 파일은 특정 서버로부터 업데이트 정보를 참고하여 업데이트 창을 생성할 것으로 보이며, 특히 추가적인 제휴 프로그램을 포함하여 설치를 유도할 것으로 보입니다.

 

  검색 도우미 : Windows FindKey Manager (2012.9.5)

 

참고로 현재 테스트 상에서는 추가적인 업데이트 창이 생성되지 않지만, 추가적인 조사를 해보면 테스트 목적으로 "Windows FindKey Manager" 검색 도우미 프로그램이 등록되어 있는 것을 확인할 수 있었습니다. 

프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 도구 모음 영역에 "펌해제하기" 버튼을 등록하여 복사할 수 없는 웹 페이지를 복사할 수 있도록 지원합니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : 스펠러

게시자 : GJ Networks

유형 : 도구 모음

CLSID : {41ED1FD7-8C37-4806-AF9E-D5238A30E56F}

파일 : C:\Program Files\Speller\SpellerCtrl.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 SpellerCtrl.dll 파일을 도구 모음으로 등록하여 동작하므로, 툴바(Toolbar) 기능을 해제하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "스펠러" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Xecure speller Application" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Speller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CB2B90B4-87BC-438F-ACFE-D9F0E870EB0D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpellerCtrl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41ED1FD7-8C37-4806-AF9E-D5238A30E56F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{470393C0-7C02-445F-8D96-8247A99C68FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpellerCtrl.SpellerTBCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpellerCtrl.SpellerTBCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{12CBCCDC-9668-412B-8D23-A20B9E85088F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {41ED1FD7-8C37-4806-AF9E-D5238A30E56F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Speller = C:\Program Files\Speller\SpellerSvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Speller

 

해당 프로그램이 설치된 환경에서 특정 시점에서는 시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 수 있으며, 기존 사례를 통해 추정해보면 업데이트 창의 닫기 버튼이 없어서 고생하는 경우가 있는 것으로 보입니다.

 

이런 경우에는 Windows 작업 관리자를 실행하여 SpellerSvc.exe 프로세스를 찾아 종료하신 후 프로그램을 삭제하시기 바랍니다.