울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 도로명 검색(Doro-Search)

벌새::Analysis

국내 도로명을 검색해 주는 프로그램을 이용하여 다수의 수익성 프로그램 설치를 유도하는 "도로명 검색(Doro-Search)" 프로그램(MD5 : 38f9304e32123c8534b99f1b84f102e7)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\doro-search
C:\Program Files\doro-search\doro-search.exe :: 프로그램(도로명 주소 찾기) 실행 파일
C:\Program Files\doro-search\doro-searchUp.exe :: 시작 프로그램 등록 파일
C:\Program Files\doro-search\partner.ini
C:\Program Files\doro-search\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\doro-search\updatelist.ini

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\doro-search
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - doro-search = "C:\Program Files\doro-search\doro-searchUp.exe" /do
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\doro-search

해당 프로그램은 "C:\Program Files\doro-search" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\doro-search\doro-searchUp.exe" /do] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

설치된 프로그램은 프로그램 메뉴를 통해 "도로명 검색" 프로그램을 실행할 수 없으며, 사용자가 "C:\Program Files\doro-search\doro-search.exe" 파일을 직접 찾아 실행한 경우에만 다음과 같은 "도로명 주소 찾기" 프로그램이 실행됩니다.

즉, "도로명 검색" 프로그램은 해당 기능 제공을 목적으로 하는 것보다는 시작 프로그램으로 등록된 doro-searchUp.exe 파일을 시스템 시작시마다 실행할 목적으로 배포가 이루어지고 있다고 볼 수 있습니다.

자동 실행되는 doro-searchUp.exe 파일은 특정 조건(프로그램 설치 과정 또는 시스템 시작시)에서 그림과 같은 설치창을 생성하여 "빠른 설치(전체)" 버튼을 클릭하도록 유도하고 있습니다.

 

하지만 해당 창이 생성된 시점에서는 이미 "C:\Program Files\doro-search" 폴더에 "도로명 검색" 프로그램이 설치 완료되어 있으므로 일종의 업데이트 창으로 판단할 수 있습니다.

사용자가 "빠른 설치(전체)" 버튼을 클릭할 경우 자동으로 25종의 수익성 프로그램이 설치될 수 있으며, "사용자 지정" 버튼을 클릭하면 "구성요소 사용자 지정" 목록에 추가된 수익성 프로그램 정보를 확인할 수 있습니다.

 

그 중에서 "Gmarket 바로가기" 항목은 필수 설치 항목이며, 나머지 25종의 수익성 프로그램이 존재합니다.

 

1. G마켓 바로가기 (필수)

  • h**p://down.****click.com/2010_update/gmarket/gmarket^2010.exe (MD5 : 6a0e3489dead96966779a1cc219eac2b)

"G마켓 바로가기" 프로그램은 특정 서버로부터 파일 다운로드가 이루어지며, "C:\DOCUME~1\(사용자 계정)\LOCALS~1\Temp\gmarket^2010_doro-search.exe" 파일을 생성하여, 다음과 같이 프로그램을 설치합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
C:\Program Files\Gmarket
C:\Program Files\Gmarket\UnGmarket.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\gmarket.ico

설치된 프로그램은 바탕 화면, 즐겨찾기, 명령 모음에 제휴 코드가 추가된 "G마켓" 바로가기 아이콘을 등록합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\GMICON
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e17d4fc0-5564-11d1-83f2-00a0c90dc849}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A91263EE-61C1-4d78-9748-81073EFB1E53}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
UnGmarket

 

2. "도로명 검색"과 "G마켓 바로가기" 프로그램 삭제

"도로명 검색" 프로그램을 통해 필수적으로 설치된 2개의 프로그램을 삭제하시기 위해서는 제어판에 등록된 "도로명검색", "G마켓 바로가기 삭제" 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 후에는 추가적으로 즐겨찾기에 등록된 G마켓 바로가기 아이콘(C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url)을 찾아 수동으로 삭제하시기 바랍니다.

 

3. 그 외 수익성 프로그램 정보 (25종)

"도로명 검색" 프로그램을 통해 추가적으로 설치될 수 있는 다수의 수익성 프로그램 중 일부 프로그램에 대한 정보는 다음과 같습니다.

 

(1) 악성코드 제거 프로그램 : 백신스타(VaccineStar) (2012.11.4)

  • h**p://down.****click.com/2010_update/VaccineStar/VaccineStar^2010.exe (MD5 : 79e561b3544230aff88c0c8f23115a79) - Microsoft : Rogue:Win32/Vakcune (VirusTotal : 32/46)

(2) 개인정보 보안 솔루션 : 헬프인포(HelpInfo) (2013.2.28)

  • h**p://down.****click.com/2010_update/HelpInfo/HelpInfo^2010.exe (MD5 : ae2bf05f8c5ba8149a5c404ae118d60c) - Microsoft : Rogue:Win32/Vakcune (VirusTotal : 27/44)

(3) 패치업 Plus(PatchUp Plus)

  • h**p://down.****click.com/2010_update/PatchUp/PatchUp^2010.exe (MD5 : d7ef0c31b8eea6c306b3986727a3917f) - AhnLab V3 : Win-PUP/Security.PatchUpPlus.5819488 (VirusTotal : 21/46)

해당 프로그램은 Windows 보안 패치를 설치할 수 있도록 제공하는 프로그램이므로 알려져 있습니다.

 

(4) 인터넷 도우미(ezOneClick)

  • h**p://down.****click.com/2010_update/ezenjoy/ezenjoy^2010.exe (MD5 : cc28cff37b62499095e9cc62625f626e) - AhnLab V3 : Win-PUP/Helper.Ezenjoy.640373 (VirusTotal : 37/46)

(5) 제휴(스폰서) 프로그램 : Window Alarm (2012.12.14)

  • h**p://down.****click.com/2010_update/walarm/walarm^2010.exe (MD5 : 6c6d9e4f706998b04b992efc9bb9fa2b)

(6) 제휴(스폰서) 프로그램 : Window Fortune (2013.3.8)

  • h**p://down.****click.com/2010_update/wfortunewfortune^2010.exe (Dead)

(7) 검색 도우미 : WinPro (2012.3.21)

  • h**p://down.****click.com/2010_update/winproutillbaksa/winproutillbaksa^2010.exe (MD5 : 99039279bb999be92beb1577e5e34a97) - AhnLab V3 : Win-PUP/Helper.WinPro.249586 (VirusTotal : 26/46)

(8) 검색 도우미 : UtilZone (2012.3.20)

  • h**p://down.****click.com/2010_update/utilzoneutillbaksa/utilzoneutillbaksa^2010.exe (MD5 : f62e7342acdbe6a87735be9fc8ee9b58)

(9) 성인 웹게임 "폭풍성장" 바로가기 아이콘 생성 (2012.12.14)

  • h**p://down.****click.com/2010_update/storm/storm^2010.exe (MD5 : 27c1a0b79a939394fc5cab67e20a0905)

(10) 검색 도우미 : Windows Everlive (2012.11.27)

  • h**p://down.****click.com/2010_update/winver/winver^2010.exe (MD5 : 5205816a750cb86b88614ea22faa75b3)

위와 같이 사용자의 부주의를 이용한 동의 설치 방식을 통해 원치 않는 다수의 프로그램들이 설치되며, 설치된 프로그램 중에서는 유사한 방식으로 또 다른 수익성 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.