본문 바로가기

벌새::Analysis

다운로드 도우미 : 후디스크 자료실 다운로드(Whodisk)

인터넷 사용자들이 많이 검색하는 소프트웨어를 블로그 또는 공개 자료실을 통해 설치 파일을 다운로드하도록 유도하여, 실행시 자동으로 설치가 이루어지는 다운로드 도우미 Whodisk 프로그램에 대해 살펴보도록 하겠습니다.

해당 설치 파일(MD5 : 5b68d3ebca6b381f8cb9b9019a129efc) 속성을 살펴보면 "Whodisk 1.00 Installation"이라는 내용을 확인할 수 있습니다.

 

  가짜 "라리사 알몸 말춤" 영상을 이용한 Fileocean 유포 주의 (2012.12.21)

 

이는 기존의 파일오션(Fileocean) 다운로드 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Whodisk
C:\Program Files\Whodisk\COMDLG32.OCX
C:\Program Files\Whodisk\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Whodisk\Uninstall.ini
C:\Program Files\Whodisk\whodiskdn.exe :: 후디스크 자료실 다운로드 창 생성 파일
C:\Program Files\Whodisk\whodiskup.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

다운로드한 파일을 실행하면 백그라운드 방식으로 "C:\Program Files\Whodisk" 폴더에 Whodisk 프로그램을 자동으로 설치하며, 사용자 화면에서는 다음과 같은 다운로드 창이 표시됩니다.

생성된 "후디스크 자료실 다운로드" 창에서는 사용자가 다운로드를 원하는 7-Zip 압축 프로그램의 설치 파일(7z920.exe) 이외에 추가적으로 등록된 2개의 수익성 프로그램이 포함되어 있는 것을 확인할 수 있습니다.

 

만약 사용자가 해당 부분을 제대로 인지하지 못한 상태에서 파일 전송을 시도할 경우 자동으로 2개의 수익성 프로그램들이 설치될 수 있으므로, 위와 같은 다운로드 창이 생성될 경우에는 매우 조심하시기 바랍니다.

 

(1) 검색 도우미 : Shopbacon (2013.1.16)

  • h**p://www.****ocean.co.kr/down/shopbaconin.exe (MD5 : ed45a8c6eb4464b0b7e121ee0db8102b) - Malwarebytes : Adware.K.ShopBacon (VT : 7/46)

(2) 검색 도우미 : Metablog New Issues (2013.3.15)

  • h**p://down.****danawa.com/down/adInstall_ad053.exe (MD5 : c87685cc08f17763dee5d4113f454c06) - AhnLab V3 : PUP/Win32.AdMatching (VT : 6/46)

또한 "후디스크 자료실 다운로드" 창을 종료할 경우 "프로그램 업데이트 후 종료합니다."와 같은 메시지를 통해 "예(Y)"를 클릭할 경우 자동으로 설치되므로, 안내 문구를 잘 읽고 버튼을 선택하시기 바랍니다.

 

해당 다운로드 창이 생성된 경우에는 Windows 작업 관리자를 실행하여 whodiskdn.exe 프로세스를 찾아 수동으로 종료하시는 것이 가장 안전합니다.

 

사용자 입장에서는 인터넷 상에서 다운로드한 파일을 실행할 경우 다운로드 창이 생성되어 추가된 수익성 프로그램들이 설치되지 않도록 잘 해결하였지만, 이 과정에서 사용자 몰래 설치된 Whodisk 프로그램을 통해 다음과 같은 문제가 연결될 수 있습니다.

사용자 몰래 설치된 Whodisk 프로그램은 Windows 시작시 "C:\Program Files\Whodisk\whodiskup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되며, 이 과정에서 특정 IP 서버에서 업데이트 정보를 체크하는 것을 확인할 수 있습니다.

 

이를 통해 차후 원치 않는 수익성 프로그램들의 설치 통로로 활용될 수 있으므로 주의가 요구됩니다.

프로그램 삭제는 제어판에 등록된 "Whodisk" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Whodisk
  • C:\Program Files\Whodisk\COMDLG32.OC
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - whodiskcc = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - whodisk = C:\Program Files\Whodisk\whodiskup.exe
HKEY_CURRENT_USER\Software\whodisk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Whodisk

 

위와 같이 유명 소프트웨어 다운로드는 공식 홈 페이지를 이용하시는 것이 가장 안전하며, 프로그램 다운로드 및 설치시 추가적으로 설치되는 제휴 프로그램의 여부를 꼼꼼하게 살피시기 바랍니다.