웹 브라우저를 통해 파일 다운로드시 "FileGet 다운로드 도우미" 창을 생성하여 다수의 수익성 프로그램들을 일괄 설치 유도하는 "파일겟(FileGet) 1.0.0.3" 프로그램(MD5 : 343d7f1d1a2abf388c93ff1bf82f8e8a)에 대해 살펴보도록 하겠습니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 파일겟(Fileget) (2010.7.26)
해당 프로그램은 2010년경 소개한 파일겟(FileGet) 프로그램의 업데이트 버전이므로 참고하시기 바랍니다.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet\FileGet2 제거.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FileGet\FileGet2.lnk
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\advUrl.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGCounter.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadMoniker.dll
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadUI.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUp.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpSvc.exe :: 서비스(FileGet Services) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\fileExt.dat
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FileGet.ini
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FileGet2.exe :: 파일 다운로드 창 생성 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FileGet2.lnk
C:\Users\(사용자 계정)\Documents\파일겟 받은 파일
해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 하도록 구성되어 있습니다.
"FileGet Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpSvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
- FGStart = "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUp.exe" /startup
또한 Windows 시작시 FGStart 시작 프로그램 등록값을 통해 FGUp.exe 파일을 자동 실행합니다.
- h**p://down.file***.co.kr/fileget/goodfile_new/Update/FGUpdate.exe (MD5 : a2648edfaa610240cb1e62ac2ed762ff)
자동 실행된 FGUp.exe 파일은 특정 서버에서 프로그램 업데이트 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGUpdate.exe" 파일로 다운로드한 후, "C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGUpdate.exe" 파일로 자가 복제 처리를 합니다.
그 후 프로그램 업데이트 파일(FGUpdate.exe) 실행을 통해 프로그램 버전(C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\Update\FGVersion.ini) 체크를 수행합니다.
프로그램이 설치된 환경에서 사용자가 웹 브라우저 실행을 통해 인터넷 상에서 파일 다운로드를 시도할 경우 "FileGet 다운로드 도우미" 창을 생성하여 다운로드를 할 수 있도록 지원합니다.
이 과정에서 다운로드 창 하단에 추가된 "전송시 윈도우보안패치, 에브리툴바, 하우코덱,I-Keeper, 주소창 검색서비스 설치 동의" 체크 박스를 유지한 상태로 파일 전송을 시도할 경우 사용자가 원치 않는 다수의 수익성 프로그램이 자동 설치가 이루어지므로 주의하시기 바랍니다.
이름 : FGDownloadUIBHO Class
게시자 : (주)네오유엑스
유형 : 브라우저 도우미 개체
CLSID : {DCE31571-F250-484E-A32B-2C6F0BAB7897}
파일 : C:\Users\(사용자 계정)\AppData\Roaming\GoodFile\FileGet\FGDownloadUI.dll
해당 다운로드 도우미 창 생성은 웹 브라우저 실행시 FGDownloadUI.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "FGDownloadUIBHO Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제를 위해서는 "보조 프로그램 → 명령 프롬프트" 메뉴를 관리자 권한으로 실행하여 [sc stop "FileGet Services"] 명령어를 입력하여 서비스 중지를 통해 FGUpSvc.exe 프로세스를 종료하시기 바랍니다.
그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "파일겟 1.0.0.3" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\Documents\파일겟 받은 파일" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
현재 테스트 시점에서 "FileGet 다운로드 도우미" 창을 통해 추가적으로 설치될 수 있는 수익성 프로그램에 대한 정보는 다음과 같습니다.
(1) 보안 패치 프로그램 : 윈도우 보안 패치(Window Boan Patch)
- h**p://update.window****patch.com/setup/DownWindowBoanPatch.exe (MD5 : 5037c8eb5dec1130f0b7fb0f0f345c60)
해당 프로그램은 Windows 보안 패치를 검사하여 설치되지 않은 프로그램을 설치할 수 있도록 해주는 기능을 가지고 있으며, 현재는 정상적으로 설치가 이루어지지 않는 죽은 프로그램으로 추정됩니다.
▷ 온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4) (2013.3.17)
해당 프로그램에 대하여 기존에 악용 사례로 소개한 내용이 있으므로 관련 정보를 참고하시기 바랍니다.
(2) <Right Security Blog> 검색 도우미 : 에브리툴바(EveryToolbar) (2011.3.11)
- h**p://dn.everytool***.co.kr/everytoolbar/program/DownEveryToolbar.exe (MD5 : 9c91977e541eb799046091203511e3fb) - MSE : Trojan:Win32/Sisproc (VT : 24/45)
(3) 하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)
- h**p://download.***codec.co.kr/howcodec/setup/howcodecapp.exe (MD5 : 878b3228de648df2f1b75791699fc677)
(4) 아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)
- h**p://download.**keeper.co.kr/ikeeper/setup/ikeeperdown.exe (MD5 : 3b1fbb038d895c74eaa95ff80637079e) - Kaspersky : Trojan-Downloader.Win32.Genome.dwpa (VT : 11/45)
해당 프로그램은 유해 사이트에 접속하지 못하도록 차단 기능을 가진 프로그램으로 사용을 위해서는 회원 가입을 반드시 해야 합니다.
(5) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)
- h**p://down.kt****search.co.kr/setup/kth_opensearch_lsetup.exe :: 다운로드 실패
(6) 악성코드 제거 프로그램 : 피씨스캔(PCScan) - AntiSpyware Solution PCScan (2013.2.5)
- h**p://**scan.net/install/PCScanSetup_pc1.exe (MD5 : b33c1b831e63c0360260a63799f38ed3) - Symantec : Downloader.MisleadApp (VT : 21/45)
"FileGet 다운로드 도우미" 창과 같은 웹 브라우저의 기본 다운로드 창이 아닌 경우에는 추가적인 수익성 프로그램 설치 목적으로 배포되는 경우가 많으므로 주의하시기 바랍니다.
☞ <2010년 ~ 2012년 관련 정보> 다운로드 도우미 : 스피드다운로드(SpeedDownload) - Windows SpeedDownload (2012.11.16) 외 9종
☞ 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)
☞ 제휴(스폰서) 프로그램 : MSSafeFilter 3.0 (2013.4.18)