울지않는벌새 : Security, Movie & Society

다운로드 도우미 : 파일겟(FileGet) 1.0.0.3

벌새::Analysis

웹 브라우저를 통해 파일 다운로드시 "FileGet 다운로드 도우미" 창을 생성하여 다수의 수익성 프로그램들을 일괄 설치 유도하는 "파일겟(FileGet) 1.0.0.3" 프로그램(MD5 : 343d7f1d1a2abf388c93ff1bf82f8e8a)에 대해 살펴보도록 하겠습니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 파일겟(Fileget) (2010.7.26)

 

해당 프로그램은 2010년경 소개한 파일겟(FileGet) 프로그램의 업데이트 버전이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet\FileGet2 제거.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet\FileGet2.lnk
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\advUrl.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGCounter.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadMoniker.dll
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadUI.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUp.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpSvc.exe :: 서비스(FileGet Services) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\fileExt.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FileGet.ini
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FileGet2.exe :: 파일 다운로드 창 생성 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FileGet2.lnk
C:\Users\(사용자 계정)\Documents\파일겟 받은 파일

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 하도록 구성되어 있습니다.

"FileGet Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpSvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

  • FGStart = "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUp.exe" /startup

또한 Windows 시작시 FGStart 시작 프로그램 등록값을 통해 FGUp.exe 파일을 자동 실행합니다.

  • h**p://down.file***.co.kr/fileget/goodfile_new/Update/FGUpdate.exe (MD5 : a2648edfaa610240cb1e62ac2ed762ff)

자동 실행된 FGUp.exe 파일은 특정 서버에서 프로그램 업데이트 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGUpdate.exe" 파일로 다운로드한 후, "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpdate.exe" 파일로 자가 복제 처리를 합니다.

 

그 후 프로그램 업데이트 파일(FGUpdate.exe) 실행을 통해 프로그램 버전(C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGVersion.ini) 체크를 수행합니다.

프로그램이 설치된 환경에서 사용자가 웹 브라우저 실행을 통해 인터넷 상에서 파일 다운로드를 시도할 경우 "FileGet 다운로드 도우미" 창을 생성하여 다운로드를 할 수 있도록 지원합니다.

 

이 과정에서 다운로드 창 하단에 추가된 "전송시 윈도우보안패치, 에브리툴바, 하우코덱,I-Keeper, 주소창 검색서비스 설치 동의" 체크 박스를 유지한 상태로 파일 전송을 시도할 경우 사용자가 원치 않는 다수의 수익성 프로그램이 자동 설치가 이루어지므로 주의하시기 바랍니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : FGDownloadUIBHO Class

게시자 : (주)네오유엑스

유형 : 브라우저 도우미 개체

CLSID : {DCE31571-F250-484E-A32B-2C6F0BAB7897}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadUI.dll

 

해당 다운로드 도우미 창 생성은 웹 브라우저 실행시 FGDownloadUI.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "FGDownloadUIBHO Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제를 위해서는 "보조 프로그램 → 명령 프롬프트" 메뉴를 관리자 권한으로 실행하여 [sc stop "FileGet Services"] 명령어를 입력하여 서비스 중지를 통해 FGUpSvc.exe 프로세스를 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "파일겟 1.0.0.3" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\Documents\파일겟 받은 파일" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

현재 테스트 시점에서 "FileGet 다운로드 도우미" 창을 통해 추가적으로 설치될 수 있는 수익성 프로그램에 대한 정보는 다음과 같습니다.

(1) 보안 패치 프로그램 : 윈도우 보안 패치(Window Boan Patch)

  • h**p://update.window****patch.com/setup/DownWindowBoanPatch.exe (MD5 : 5037c8eb5dec1130f0b7fb0f0f345c60)

해당 프로그램은 Windows 보안 패치를 검사하여 설치되지 않은 프로그램을 설치할 수 있도록 해주는 기능을 가지고 있으며, 현재는 정상적으로 설치가 이루어지지 않는 죽은 프로그램으로 추정됩니다.

 

  온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)

 

해당 프로그램에 대하여 기존에 악용 사례로 소개한 내용이 있으므로 관련 정보를 참고하시기 바랍니다.

 

(2) <Right Security Blog> 검색 도우미 : 에브리툴바(EveryToolbar) (2011.3.11)

  • h**p://dn.everytool***.co.kr/everytoolbar/program/DownEveryToolbar.exe (MD5 : 9c91977e541eb799046091203511e3fb) - MSE : Trojan:Win32/Sisproc (VT : 24/45)

(3) 하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)

  • h**p://download.***codec.co.kr/howcodec/setup/howcodecapp.exe (MD5 : 878b3228de648df2f1b75791699fc677)

(4) 아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)

  • h**p://download.**keeper.co.kr/ikeeper/setup/ikeeperdown.exe (MD5 : 3b1fbb038d895c74eaa95ff80637079e) - Kaspersky : Trojan-Downloader.Win32.Genome.dwpa (VT : 11/45)

해당 프로그램은 유해 사이트에 접속하지 못하도록 차단 기능을 가진 프로그램으로 사용을 위해서는 회원 가입을 반드시 해야 합니다.

 

(5) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)

  • h**p://down.kt****search.co.kr/setup/kth_opensearch_lsetup.exe :: 다운로드 실패

(6) 악성코드 제거 프로그램 : 피씨스캔(PCScan) - AntiSpyware Solution PCScan (2013.2.5)

  • h**p://**scan.net/install/PCScanSetup_pc1.exe (MD5 : b33c1b831e63c0360260a63799f38ed3) - Symantec : Downloader.MisleadApp (VT : 21/45)

"FileGet 다운로드 도우미" 창과 같은 웹 브라우저의 기본 다운로드 창이 아닌 경우에는 추가적인 수익성 프로그램 설치 목적으로 배포되는 경우가 많으므로 주의하시기 바랍니다.