울지않는벌새 : Security, Movie & Society

검색 도우미 : ndiskdown 1.00

벌새::Analysis

시스템 시작시 웹하드 광고창이 생성되어 회원 가입을 유도하는 "ndiskdown 1.00" 광고 프로그램(MD5 : 880dcd8f35dba6c12ef27d59630c91df)에 대해 살펴보도록 하겠습니다.

  가짜 "라리사 알몸 말춤" 영상을 이용한 Fileocean 유포 주의 (2012.12.21)

 

해당 프로그램은 인터넷 상에서 이슈가 되는 동영상을 볼 수 있는 파일로 위장한 파일을 실행시 추가 설치될 수 있는 것으로 추정되며, 안랩 클라우드(AhnLab Cloud) 기준으로 2013년 2월 12일경부터 배포가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\엔디스크 무료다운.lnk
C:\Program Files\ndiskdown
C:\Program Files\ndiskdown\ndisk.ico
C:\Program Files\ndiskdown\ndiskdown.exe :: 시작 프로그램 등록 파일 / 프로그램 실행 파일
C:\Program Files\ndiskdown\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\ndiskdown\Uninstall.ini

"ndiskdown 1.00" 프로그램은 "C:\Program Files\ndiskdown" 폴더에 파일을 생성하며, Windows 시작시 ndiskdown.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

또한 바탕 화면에 생성된 "엔디스크 무료다운" 바로가기 아이콘을 실행시 시작 프로그램으로 등록된 ndiskdown.exe 파일을 실행합니다.

이를 통해 시스템 시작시마다 "영화, 음악, 드라마 가입만하면 몇천편이 무료"라는 웹하드 광고창이 생성되는 동작을 확인할 수 있습니다.

이 과정에서 특정 파트너 아이디(ID)가 추가되며, 검색어로는 "마의"로 검색된 특정 웹하드 검색 결과가 노출됩니다.

프로그램 삭제는 제어판의 "ndiskdown 1.00" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - ndiskdown = C:\Program Files\ndiskdown\ndiskdown.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
ndiskdown 1.00

 

시스템 시작시 알 수 없는 프로그램을 통해 광고창이 생성될 경우 어떤 프로그램을 통해 동작하는지 사용자가 확인하기 매우 어려우므로, 평소에 자극적인 동영상을 보기 위해 인터넷 상에서 실행 파일을 다운로드하여 함부로 실행하는 일이 없도록 주의하시기 바랍니다.