웹 브라우저를 이용하여 파일 다운로드 과정에서 생성되는 다운로드 도우미 DownHelper 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 184f07e69cfbc686d078a4d7547f0b60)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 11/47) 진단명으로 진단되고 있습니다.
C:\Program Files\downhelper
C:\Program Files\downhelper\downhelper.exe :: 프로그램 실행 파일
C:\Program Files\downhelper\downhelperlauncher.dll
C:\Program Files\downhelper\uninst_downhelper.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\downhelper_se.exe :: 서비스(downhelper Update Service) 등록 파일 / 메모리 상주 프로세스
C:\WINDOWS\system32\downhelperU.exe
C:\WINDOWS\system32\downhelperU.exe
- MD5 : cec635b69aca6ac50e1bd87fd3162a32
- Hauri ViRobot : Adware.Agent.163336 (VT : 20/47)
해당 프로그램은 "C:\Program Files\downhelper" 폴더와 시스템 폴더(C:\WINDOWS\system32)에 파일들을 생성하며, 시스템 시작시 다음과 같은 방식으로 자동 실행되도록 구성되어 있습니다.
"downhelper Update Service(downhelper Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\WINDOWS\system32\downhelper_se.exe" /service] 파일을 자동 실행하며, 실행된 파일은 "C:\WINDOWS\system32\downhelperU.exe" 파일을 로딩하여 프로그램 버전 체크를 하도록 되어 있습니다.
프로그램이 설치된 환경에서 사용자가 웹 브라우저를 이용하여 파일을 다운로드할 경우, "C:\Program Files\downhelper\downhelper.exe" 프로세스를 실행하여 "다운로드 도우미" 창을 생성하는 동작을 확인할 수 있습니다.
해당 다운로드 도우미 창의 우측 하단에는 추가적인 "프로그램 목록"이 포함되어 있으며, 다운로드 도우미 창 생성 과정에서 특정 서버에 등록된 수익성 프로그램이 존재할 경우 목록에 포함될 수 있습니다.(※ 현재 테스트 과정에서는 등록된 프로그램이 존재하지 않습니다.)
그러므로 파일 다운로드 과정에서 등록된 수익성 프로그램의 체크 박스를 해제하지 않고 다운로드를 진행할 경우 원치 않는 다수의 프로그램들이 설치될 수 있으며, 다운로드 도우미 창을 종료할 경우에도 설치되지 않도록 버튼 선택에 주의하셔야 합니다.
프로그램 삭제시에는 메모리에 상주하는 서비스를 종료하기 위해서 실행창에 [sc stop "downhelper Update Service"] 명령어를 입력 및 실행하여 downhelper_se.exe 프로세스를 종료하시기 바랍니다.
그 후 제어판에 등록된 "downhelper" 삭제 항목을 이용하여 프로그램을 삭제할 수 있습니다.
하지만 프로그램 삭제 이후에도 "downhelper Update Service(downhelper Support Service)" 서비스 항목 및 관련 파일이 여전히 존재하여 시스템 시작시 다음과 같은 외부 통신을 매번 수행합니다.
등록된 서비스는 다음(Daum) 서버에 쿼리 전송을 통한 인터넷 연결 체크 및 프로그램 버전 체크 등을 수행한 후 메모리에 상주하므로, 위와 같은 원치 않는 통신을 차단하기 위해서는 다음과 같은 절차에 따라 추가적인 삭제를 진행하시기 바랍니다.
(1) 메모리에 상주하는 서비스 프로세스(downhelper_se.exe)를 종료하기 위하여 실행창에 [sc stop "downhelper Update Service"] 명령어를 입력 및 실행하여 서비스를 종료하시기 바랍니다.
(2) 등록된 서비스 값을 삭제하기 위하여 실행창에 [sc delete "downhelper Update Service"] 명령어를 입력하여 실행하시기 바랍니다.
(3) 다음의 파일을 찾아 수동으로 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 생성된 레지스트리 값이 존재하는지 추가적으로 점검하시기 바랍니다.
- C:\WINDOWS\system32\downhelper_se.exe
- C:\WINDOWS\system32\downhelperU.exe
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
- DownloadUI = {7DB53888-84F7-4369-9238-3857C2F5E601}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\DownLauncher.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7DB53888-84F7-4369-9238-3857C2F5E601}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownLauncher.Download
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\DownLauncher.Download.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85149613-797A-4AD1-8C78-6C011C3F024A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2CF48E87-EA2E-4EB3-AF5A-AD60F4DBF3A9}
HKEY_LOCAL_MACHINE\SOFTWARE\downhelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
- DownloadUI = {7DB53888-84F7-4369-9238-3857C2F5E601}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\downhelper
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DOWNHELPER_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\downhelper Update Service
해당 프로그램은 파일 다운로드 과정에서 웹 브라우저에서 제공하는 다운로드 방식이 아닌 광고 기능이 추가된 다운로드 도우미 창을 생성하며, 생성된 다운로드 도우미 창에 등록된 수익성 프로그램을 사용자가 제대로 확인하지 않고 다운로드하는 부분을 통해 원치 않는 프로그램들을 설치할 수 있으므로 주의하시기 바랍니다.
☞ <2010년, 2011년 관련 정보> 다운로드 도우미 : 라피드겟(RapidGet) - Windows Download Manager RapidGet (2011.10.28) 외 6종
☞ 다운로드 도우미 : 인터넷다운로드(InternetDownload) (2012.7.7)
☞ 다운로드 도우미 : 파일도우미(FileDoumi) (2012.11.3)
☞ 다운로드 도우미 : 스피드다운로드(SpeedDownload) - Windows SpeedDownload (2012.11.16)
☞ 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)