본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Xecure speller Application

마우스 우클릭을 차단하여 무단 복사를 방지하는 웹 페이지를 복사할 수 있도록 지원하는 "Xecure speller Application" 프로그램에 대해 살펴보도록 하겠습니다.

 

프로그램의 설치 파일(MD5 : 7e9e65962e11e331b42bf175d43a99a9)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Speller (VirusTotal : 8/42) 진단명으로 진단되고 있습니다. 

   제휴(스폰서) 프로그램 : Windows RightClick Copy (2012.4.1)

 

해당 프로그램은 기존의 동일한 기능을 제공하며 추가적인 업데이트 창을 생성하여 다수의 수익성 프로그램의 설치를 유도하던 "라클(Windows RightClick Copy)" 프로그램의 변형된 버전으로 보이므로 참고하시기 바랍니다.

 

또한 해당 프로그램은 일반적으로 보안 솔루션에서 사용하는 "Xecure"라는 문구를 포함하고 있으므로 혼동하지 않도록 주의하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Speller
C:\Program Files\Speller\SpellerCtrl.dll
C:\Program Files\Speller\SpellerSvc.exe :: 시작 프로그램 등록 파일
C:\Program Files\Speller\SpellerUninst.exe :: 프로그램 삭제 파일
C:\Program Files\Speller\temp

 

해당 프로그램은 "C:\Program Files\Speller" 폴더에 파일을 생성하며, Windows 시작시 SpellerSvc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 SpellerSvc.exe 파일은 특정 서버로부터 업데이트 정보를 참고하여 업데이트 창을 생성할 것으로 보이며, 특히 추가적인 제휴 프로그램을 포함하여 설치를 유도할 것으로 보입니다.

 

  검색 도우미 : Windows FindKey Manager (2012.9.5)

 

참고로 현재 테스트 상에서는 추가적인 업데이트 창이 생성되지 않지만, 추가적인 조사를 해보면 테스트 목적으로 "Windows FindKey Manager" 검색 도우미 프로그램이 등록되어 있는 것을 확인할 수 있었습니다. 

프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저의 도구 모음 영역에 "펌해제하기" 버튼을 등록하여 복사할 수 없는 웹 페이지를 복사할 수 있도록 지원합니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : 스펠러

게시자 : GJ Networks

유형 : 도구 모음

CLSID : {41ED1FD7-8C37-4806-AF9E-D5238A30E56F}

파일 : C:\Program Files\Speller\SpellerCtrl.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 SpellerCtrl.dll 파일을 도구 모음으로 등록하여 동작하므로, 툴바(Toolbar) 기능을 해제하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "스펠러" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Xecure speller Application" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Speller
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{CB2B90B4-87BC-438F-ACFE-D9F0E870EB0D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SpellerCtrl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41ED1FD7-8C37-4806-AF9E-D5238A30E56F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{470393C0-7C02-445F-8D96-8247A99C68FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpellerCtrl.SpellerTBCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpellerCtrl.SpellerTBCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{12CBCCDC-9668-412B-8D23-A20B9E85088F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {41ED1FD7-8C37-4806-AF9E-D5238A30E56F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Speller = C:\Program Files\Speller\SpellerSvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Speller

 

해당 프로그램이 설치된 환경에서 특정 시점에서는 시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 수 있으며, 기존 사례를 통해 추정해보면 업데이트 창의 닫기 버튼이 없어서 고생하는 경우가 있는 것으로 보입니다.

 

이런 경우에는 Windows 작업 관리자를 실행하여 SpellerSvc.exe 프로세스를 찾아 종료하신 후 프로그램을 삭제하시기 바랍니다.

  • 나이거안다 2012.09.06 09:03 댓글주소 수정/삭제 댓글쓰기

    이걸 홍보하는 사람들이 더 문제다
    이거 설치된 컴퓨터는 10개이상의 프로그램을 설치하라는 악성팝업창이 뜬다

  • ㅠㅠ 2013.11.07 16:39 댓글주소 수정/삭제 댓글쓰기

    저 프로세스끄고 툴바끄고 프로그램추가/제거 에서도 지웟는데
    templates에있는 스펠러 언인스톨 실행해서 지우려고하는데 안지워지내요
    어떻게해야되죠

    • 이 프로그램은 C: \ Program Files \ Speller 폴더에 파일을 생성하므로 이 폴더만 제거하시면 되며 말씀하시는 폴더의 경우에는 아마 최초 설치할 때 설치 파일을 받아온 폴더이거나 삭제시 임시 생성된 삭제 파일로 보이므로 관계 없을 것 같습니다.

      아무튼 Speller 폴더를 삭제하시는 것이 프로그램의 기능을 제거하는 것으로 생각됩니다. 물론 분석글에 시간이 지나서 변경되었을 수도 있지만요..

      그러므로 제어판에서 삭제를 하셨다면 정상적으로 프로그램이 삭제된 것이 아닌가 싶습니다. 생성 폴더 및 내부 파일이 존재한지만 체크해 보시기 바랍니다.