울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : EzCleanHelper Controller

벌새::Analysis

시스템 시작시 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "EzCleanHelper Controller" 프로그램(MD5 : b2fa9dc1c4759849b4845e8798870034)
에 대해 살펴보도록 하겠습니다.

 

  이지클린(ezClean) 서비스 중지와 블로그 첨부 파일 주의 (2013.2.16)

 

해당 프로그램은 이지클린(ezClean) 유사 웹 사이트를 이용하여 배포되었던 설치 파일을 통해 배포가 이루어질 수 있었던 것으로 보이므로 참고하시기 바랍니다.

배포용 설치 파일은 2012년 4월 30일경에 최초 확인되었으며, 파일에 포함된 "GMT" 디지털 서명은 유효 기간이 종료되어 현재는 유효하지 않은 상태입니다.

 

  "라리사 말춤 원본 동영상"을 이용한 Windows UtilWorld Download Controller 설치 주의 (2012.12.22)

 

  웹 문서 검색 노출을 이용한 Windows FileTap Download Controller 설치 주의 (2012.12.27)

 

해당 GMT 디지털 서명과 연관된 최근 배포 사례를 통해 여전히 다양한 이름과 방식으로 사용자 PC에 설치를 시도하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\EzCleanController
C:\Program Files\EzCleanController\EzCleanHelper_UDControl.exe :: 시작 프로그램 등록 파일
C:\Program Files\EzCleanController\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\EzCleanController" 폴더에 파일을 생성하며, Windows 시작시 EzCleanHelper_UDControl.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 EzCleanHelper_UDControl.exe 파일은 이지클린(ezClean) 유사 사이트(forusersoft.co.kr)의 또 다른 도메인 서버(forusersoft.net)에 접속하여 광고 관련 업데이트 정보를 체크하는 동작을 확인할 수 있습니다.(※ 원래 이지클린 공식 사이트 주소는 "forusersoft.com" 입니다.)

 

테스트 시점에서는 추가적인 업데이트 창 생성을 통한 수익성 프로그램 설치 행위는 발견되지 않고 있지만, 과거 프로그램 업데이트 창을 통해 원치 않는 프로그램의 설치를 유도하였을 것으로 보입니다.

프로그램 삭제는 제어판에 등록된 "EzCleanHelper Controller" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - EzCleanController = C:\Program Files\EzCleanController\EzCleanHelper_UDControl.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
EzCleanHelper_UDControl uninstall

 

위와 같은 프로그램은 업데이트 서버가 사라지지 않는 한 차후 동작할 여지가 있으므로, 사용자에게 전혀 도움이 되지 않으면서 수익성 프로그램의 배포 통로로 이용되는 프로그램은 삭제를 하시기 바랍니다.