본문 바로가기

벌새::Analysis

검색 도우미 : Molldive

특정 웹게임 홍보 목적으로 제작되어 사용자 몰래 키워드 검색 수행 및 팝업창을 생성할 것으로 추정되는 검색 도우미 Molldive 프로그램(MD5 : bb64a99975dcf8d8529e3ca6efe7ccb0)에 대해 살펴보도록 하겠습니다.(※ 현재 해당 프로그램은 업데이트 기능을 이용하여 프로그램 활동을 중지할 목적으로 삭제 파일을 다운로드하는 것으로 확인되고 있습니다.)

 

확인된 Molldive 프로그램은 2012년 8월경에 배포된 파일을 이용하여 확인을 하였으며, 현재는 정상적인 프로그램 동작은 확인되지 않으므로 일부 내용은 추정이 근거하여 작성됨을 밝힙니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Molldive
C:\Program Files\Molldive\MolldiveUpdater.exe

C:\Program Files\Molldive\uninst.exe

 

최초 프로그램이 설치되면 "C:\Program Files\Molldive" 폴더에 파일을 생성하며, 추가적인 업데이트 기능을 통해 다음과 같은 동작이 이루어집니다.

특정 서버로부터 MolldiveKeyword.exe (MD5 : bd862a87f7c98ac0e0cabadc3cbe2ed6) 파일을 추가로 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\MolldiveKeyword.exe" 파일로 생성한 후, "C:\Program Files\Molldive" 폴더에 추가적인 파일을 생성합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\MolldiveKeyword.exe
C:\Program Files\Molldive
C:\Program Files\Molldive\Keyword.db
C:\Program Files\Molldive\Molldive.exe :: 메모리 상주 프로세스
C:\Program Files\Molldive\MolldiveUpdater.exe :: 시작 프로그램 등록 파일
C:\Program Files\Molldive\sqlite3.dll
C:\Program Files\Molldive\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Molldive\ver.ini

 

이를 통해 최종적으로 생성된 Molldive 프로그램은 Windows 시작시 MolldiveUpdater.exe 파일을 실행하여 업데이트 체크 및 Molldive.exe 파일을 메모리에 상주할 것으로 보입니다.

메모리에 상주한 Molldive.exe 파일은 현재 테스트 시점에서는 네이버(Naver) 검색 서비스를 이용하여 2개의 검색 키워드 값을 전송하여 검색 트래픽을 유발하고 있으며, 그 외 다음(Daum), 줌(ZUM), 네이트닷컴(Nate.com)에서도 유사한 방식이 가능한 것으로 보입니다.

실제 연결되는 검색 키워드 값을 확인해보면 국내 특정 웹게임(예, 신전온라인) 관련 검색 키워드 2개를 시스템 부팅시마다 랜덤(Random)하게 검색을 시도하는 동작을 확인할 수 있었습니다.

그 외에 프로그램에서는 다수의 검색 키워드 값이 등록되어 사용자가 인터넷을 이용하는 과정에서 매칭되는 검색 키워드 값에 따라 웹게임 관련 광고창이 생성될 것으로 추정됩니다.

참고로 현재 분석 시점에서의 Molldive 프로그램은 시스템 시작시 MolldiveUpdater.exe 파일을 통해 프로그램 삭제 파일(uninst.exe)을 다운로드하는 동작을 확인할 수 있습니다.(※ 다운로드된 파일이 실제 프로그램 삭제 실행은 하지는 않습니다.)

해당 프로그램은 Molldive.exe 프로세스를 통해 기능이 수행되므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "Molldive" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\MolldiveKeyword.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Molldive = C:\Program Files\Mo
 - MolldiveUpdater = C:\Program Files\Molldive\MolldiveUpdater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Molldive

 

해당 프로그램은 백그라운드 방식으로 사용자가 실행하지 않은 인터넷 검색 활동을 수행하여 특정 검색 키워드 순위를 상승시킬 목적이 있는 것으로 보이며, 인터넷 이용시 원치 않는 광고창 생성이 이루어질 수 있으므로 주의하시기 바랍니다.