울지않는벌새 : Security, Movie & Society

검색 도우미 : mcodec Supporter

벌새::Analysis

11번가, G마켓, 옥션 인터넷 쇼핑몰 즐겨찾기를 등록하며, 웹 브라우저의 좌측 사이드바 광고를 생성하는 검색 도우미 "mcodec Supporter" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : db4e75fc65c434f8cb6ecd24636ee93c)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Suspicious (VirusTotal : 26/44) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Me2 Supporter (2011.12.4)

 

  검색 도우미 : 서치온(Search On) (2011.12.23)

 

  국내 악성코드 : City Supporter (2011.12.20)

 

  검색 도우미 : Find Supporter (2011.12.29)

 

  검색 도우미 : Choco Supporter (2012.1.30)

 

  검색 도우미 : NQ Supporter (2012.3.26)

 

해당 프로그램은 기존에 ○○ Supporter 검색 도우미 시리즈와 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Favorites\11번가 바로가기.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션 바로가기.url
C:\Documents and Settings\(사용자 계정)\Favorites\지마켓 바로가기.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\mcodecdownfileinfo.oN
C:\Program Files\mcodec Supporter
C:\Program Files\mcodec Supporter\11st.ico
C:\Program Files\mcodec Supporter\auction.ico
C:\Program Files\mcodec Supporter\gmarket.ico
C:\Program Files\mcodec Supporter\mcodecDownFileInfo.o
C:\Program Files\mcodec Supporter\mcodecguide.o
C:\Program Files\mcodec Supporter\mcodecquery.o
C:\Program Files\mcodec Supporter\mcodecSupporter.exe :: 시작 프로그램 등록 파일
C:\Program Files\mcodec Supporter\mcodecSupporterh.dll :: BHO 등록 파일
C:\Program Files\mcodec Supporter\tbc.dll
C:\Program Files\mcodec Supporter\version.txt
C:\WINDOWS\system32\mcodecconfig.o

 

[생성 파일 등록 정보]

 

C:\Program Files\mcodec Supporter\mcodecSupporterh.dll
 - MD5 : d7f39e8f72652e2d6fac50d0c8e02ed6
 - AhnLab V3 : Malware/Win32.Suspicious (VirusTotal : 18/45)

 

해당 프로그램은 Windows 시작시 mcodecSupporter.exe 파일을 시작 프로그램으로 등록하여 프로그램 업데이트를 체크하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 즐겨찾기와 명령 모음에 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기가 등록되어 있습니다.

또한 인터넷 검색을 통해 웹 사이트 접속시 웹 브라우저 좌측에 "mcodec Supporter" 사이드바 광고가 생성되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : mcodec Supporter Helper Object

게시자 : OPEN.co., ltd

유형 : 브라우저 도우미 개체

CLSID : {18620805-A972-4435-A06E-B4841BCB1AB4}

파일 : C:\Program Files\mcodec Supporter\mcodecSupporterh.dll

 

이름 : 옥션 바로가기

유형 : 브라우저 확장

CLSID : {EEEEEEEE-CF2A-4B17-94A8-3DCA71E13860}

파일 : C:\Program Files\mcodec Supporter\tbc.dll

 

이름 : 11번가 바로가기

유형 : 브라우저 확장

CLSID : {EEEEEEEE-CF2A-4B17-94A8-3DCA71E13861}

파일 : C:\Program Files\mcodec Supporter\tbc.dll

 

이름 : 지마켓 바로가기

유형 : 브라우저 확장

CLSID : {EEEEEEEE-CF2A-4B17-94A8-3DCA71E13862}

파일 : C:\Program Files\mcodec Supporter\tbc.dll

 

해당 광고는 mcodecSupporterh.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 웹 브라우저 실행시 키워드 감시를 통한 사이드바 광고 생성이 이루어지며, 11번가, G마켓, 옥션 바로가기를 명령 모음에 등록하여 수익을 창출하고 있습니다.

 

그러므로 사이드바 광고를 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 "mcodec Supporter Helper Object" 항목을 선택하여 "사용 안 함"으로 변경하시기 바라며, 명령 모음에 등록된 인터넷 쇼핑몰 바로가기는 "옥션, 11번가, 지마켓 바로가기" 항목을 선택하여 "사용 안 함"으로 변경하시면 표시되지 않습니다.

프로그램 삭제는 제어판의 "mcodec Supporter" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가 바로가기.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션 바로가기.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\지마켓 바로가기.url
  • C:\Program Files\mcodec Supporter
  • C:\Program Files\mcodec Supporter\mcodecSupporter.bak
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{18620805-A972-4435-A06E-B4841BCB1AB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13860}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13861}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13862}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FFFF0467-760A-4F96-8153-D7576232B0DA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mcodecSupporterh.mcodec Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\tbc.TBCButton
HKEY_LOCAL_MACHINE\SOFTWARE\mcodec Supporter
HKEY_LOCAL_MACHINE\SOFTWARE\mcodec SupporterLoader
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13860}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13861}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{EEEEEEEE-CF2A-4B17-94A8-3DCA71E13862}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{18620805-A972-4435-A06E-B4841BCB1AB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - mcodec Supporter = "C:\Program Files\mcodec Supporter\mcodecSupporter.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
mcodec Supporter

 

해당 프로그램은 프로그램 이름(mcodec Supporter)이 코덱(Codec) 프로그램처럼 등록되어 있으며, 프로그램 삭제 이후에도 즐겨찾기에 등록된 인터넷 쇼핑몰 바로가기를 통해 지속적인 수익 창출이 가능하므로 주의하시기 바랍니다.