본문 바로가기

벌새::Analysis

다운로드 도우미 : 스피드다운로드(SpeedDownload) - Windows SpeedDownload

인터넷 상에서 파일 다운로드를 시도할 경우 스피드다운로드(SpeedDownload) 프로그램이 동작하여 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "스피드다운로드(SpeedDownload) - Windows SpeedDownload" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 95b3a9150593669044cfbeeb23c11a4f)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.SpeedDownload.919936 (VirusTotal : 10/44) 진단명으로 진단되고 있습니다.

 

  <2010년, 2011년 관련 정보> 다운로드 도우미 : 라피드겟(RapidGet) - Windows Download Manager RapidGet (2011.10.28) 외 6종

 

  다운로드 도우미 : 인터넷다운로드(InternetDownload) (2012.7.7)

 

  다운로드 도우미 : 파일도우미(FileDoumi) (2012.11.3)

 

기존에 이와 유사한 형태의 파일 다운로드 도우미 프로그램들이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\fbdchk.exe :: 시작 프로그램(rpga) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDManager.exe :: 시작 프로그램(SpeedDownload) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDMgr.dll
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDSvcMan.exe :: 서비스(FBDSvcman) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDUnist.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\SpeedGet.exe :: 프로그램 실행 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\SpeedGet.tlb
C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\temp
C:\Documents and Settings\(사용자 계정)\My Documents\SpeedDownload

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload" 폴더에 파일을 생성하며, "FBDSvcman" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDSvcMan.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일은 SpeedGet.exe 파일을 로딩하여 업데이트 체크 및 특정 공개 자료실에서는 동작하지 않도록 등록된 구성값을 체크합니다.

 

또한 추가적으로 Windows 시작시 fbdchk.exe, FBDManager.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 웹 브라우저를 통해 파일을 다운로드하는 과정에서 SpeedGet.exe 파일을 자동으로 실행되는 동작을 확인할 수 있습니다.

실행된 SpeedGet.exe 파일은 시스템 시작시 동작과 마찬가지로 업데이트 체크 동작이 이루어지며, 기존 파일 다운로드 도우미 사례를 통해 추정해보면 해당 업데이트는 프로그램 업데이트가 아닌 추가적인 수익성 프로그램 관련 업데이트 체크로 판단됩니다.

 

현재에는 업데이트 서버에 추가된 프로그램이 존재하지 않는 관계로 실제적인 동작은 이루어지지 않지만, 차후 웹 브라우저의 다운로드 창 대신 스피드다운로드(SpeedDownload) 프로그램에서 제공하는 다운로드 창 생성을 통해 수익성 프로그램의 설치를 유도할 가능성이 존재합니다.

 

그러므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SpeedGet.exe 프로세스 및 스피드다운로드(SpeedDownload) 프로그램 관련 프로세스(fbdchk.exe, FBDManager.exe 추정)가 존재할 경우 수동으로 종료하시기 바랍니다.

그 후 제어판의 "Windows SpeedDownload" 삭제 항목을 이용하여 프로그램을 삭제한 후, 추가적으로 "C:\Documents and Settings\(사용자 계정)\My Documents\SpeedDownload" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {5121BCAB-14D5-40AD-A469-4437CC51F7AA}
HKEY_CURRENT_USER\Software\SpeedDownload
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{94FCCCA5-531E-4875-876B-86FCA72F3DB9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\FBDMgr.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{28496816-3E54-4563-B947-E231A41BA575}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5121BCAB-14D5-40AD-A469-4437CC51F7AA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FBDMgr.FileBaroDownloadMgr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FBDMgr.FileBaroDownloadMgr.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{858286CC-F344-4806-A53F-C0B59F268099}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F4FA1508-14A2-4202-8DB7-6DAAABA6573A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpeedGet.SpeedGetUrlReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SpeedGet.SpeedGetUrlReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1FED97BA-9420-4C30-B434-7F20028DB5A4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{796889E4-9804-49DC-AA1F-7D466197177D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - DownloadUI = {5121BCAB-14D5-40AD-A469-4437CC51F7AA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{36AA6A03-D478-46fc-84F0-FEF2B807DBBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - rpga = C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\rpgchk.exe
 - SpeedDownload = C:\Documents and Settings\(사용자 계정)\Application Data\SpeedDownload\FBDManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SpeedDownload
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FBDSVCMAN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FBDSvcman

 

일부 파일 다운로드 도우미 프로그램은 삭제 이후에도 웹 브라우저를 통한 파일 다운로드 동작에 문제를 유발하는 경우가 보고되고 있으므로 주의하시기 바라며, 웹 브라우저에서 제공하는 다운로드 창이 아닌 경우에는 파일 다운로드 과정에서 추가적인 수익성 프로그램이 포함되어 있는지 화면을 꼼꼼하게 살피는 습관을 가지시기 바랍니다.