울지않는벌새 : Security, Movie & Society

다운로드 도우미 : FileDown 1.0.0.2

벌새::Analysis

Internet Explorer 웹 브라우저를 이용하여 인터넷 상에서 파일 다운로드 시 "파일다운 다운로드 도우미 - FileDown 다운로더" 창을 생성하는 "FileDown 1.0.0.2" 프로그램에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : 파일다운(FileDown) 다운로드 도우미 (2010.12.21)

 

해당 프로그램은 기존의 파일다운(FileDown) 프로그램의 업데이트 버전으로 확인되므로 참고하시기 바랍니다.

 

프로그램 배포 방식은 공개 파일 자료실의 ActiveX 설치를 통해 드랍퍼(Dropper) 기능은 하는 파일(MD5 : c7fda12e043d83642ec363d1db64a5c1)을 통해 추가 다운로드된 설치 파일(MD5 : 37e942a5239a807e419931551bc0318d)을 통해 설치되는 것으로 파악되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\filedown_new
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\advUrl.dat
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDCounter.exe
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDDownloadMoniker.dll
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDDownloadUI.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUp.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpSvc.exe :: 서비스(FileDown Services) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FileDown.ini
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FileDown2.exe :: FileDown 다운로더 생성 파일
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\fileExt.dat
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\Update
C:\Users\(사용자 계정)\Documents\파일다운 받은 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDCounter.exe
 - MD5 : 15e48a1ead655f285ebf5f08706f4eec
 - nProtect : Adware/W32.Agent.90112.B (VT : 18/48)

 

C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpSvc.exe
 - MD5 : 70ea4d0787fa73eb16be480200c8866f
 - nProtect : Adware/W32.Agent.92160 (VT : 15/48)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

 

1. "FileDown Services" 서비스 등록

"FileDown Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpSvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(FDUpSvc.exe)은 실행 후 1분이 경과하면 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDCounter.exe" 파일 실행을 통해 실행 카운터(Counter)를 체크합니다.

 

또한 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUp.exe" 파일을 실행하여 프로그램 버전 체크를 수행합니다.

해당 동작이 완료된 후에는 서비스 프로세스(FDUpSvc.exe)는 메모리에 상주하도록 되어 있습니다.

 

2. "FDStart" 시작 프로그램 등록

 

"FileDown Services" 서비스 등록을 통한 자동 실행 외에도 Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUp.exe" /startup] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 시작 프로그램 파일(FDUp.exe)은 시스템 부팅시마다 특정 서버에서 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\Update\FDUpdate.exe" 파일로 생성한 후 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpdate.exe" 파일을 교체합니다.

 

또한 교체된 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUpdate.exe" 파일 실행을 통해 특정 서버에서 프로그램 버전 체크(C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\Update\FDVersion.ini)를 수행합니다.

 

3. "파일다운 다운로드 도우미 - FileDown 다운로더" 창 생성

 

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 통해 인터넷 상에서 파일을 다운로드할 경우 "파일다운 다운로드 도우미 - FileDown 다운로더" 창이 생성되는 것을 확인할 수 있습니다.

생성된 다운로더 창에서는 사용자가 다운로드를 원하는 파일과 함께 하단 영역에 "전송시 하우코덱, 윈도우보안패치, 에브리툴바, I-Keeper, 아이콘정리기 설치 동의" 항목이 체크된 상태이며, 사용자가 해당 체크 박스를 해제하지 않고 파일 전송을 실행하면 자동으로 제휴 프로그램이 모두 설치될 수 있으므로 주의하시기 바랍니다.

참고로 다운로더 창 생성은 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FileDown2.exe" 프로세스 생성을 통해 구현되므로 해당 프로세스를 찾아 수동으로 종료하시면 안전하게 다운로더 창을 종료할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : FGDownloadUIBHO Class

게시자 : CIPHER LOGIS

유형 : 브라우저 도우미 개체

CLSID : {70171C86-7A8A-4FE9-BC5F-CEEEA5E989BC}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDDownloadUI.dll

 

해당 다운로더 창 생성 동작은 Internet Explorer 웹 브라우저 실행시 FDDownloadUI.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 생성되므로, 생성 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "FGDownloadUIBHO Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

4. 제휴 프로그램 정보

 

"파일다운 다운로드 도우미 - FileDown 다운로더" 창을 통해 설치될 수 있는 제휴 프로그램은 설치시 조건 체크를 통해 추가적인 설치 파일을 다운로드하여 설치가 이루어질 수 있습니다.

설치가 진행되면 서버에 등록된 설치 파일을 "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new" 폴더에 다운로드한 후 실행하여 추가적인 프로그램 설치 파일을 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 임시 폴더에 다운로드하여 설치가 진행될 수 있습니다.

 

(1) 하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)

  • h**p://download.***codec.co.kr/howcodec/setup/howcodecapp.exe (MD5 : 878b3228de648df2f1b75791699fc677) :: 프로그램 설치 드랍퍼(Dropper)
  • h**p://download.***codec.co.kr/howcodec/setup/howcodecsetup.exe (MD5 : 16315bb9df3325032953a73d35fa4521) :: 프로그램 설치 파일

(2) 보안 패치 프로그램 : 윈도우 보안 패치(Window Boan Patch) - Window Boan Patch v1.1

  • h**p://update.window****patch.com/setup/DownWindowBoanPatch.exe (MD5 : 627e353803e11770f6052c3045272d4b) - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 2/48) :: 프로그램 설치 드랍퍼(Dropper)
  • h**p://download.window****patch.com/windowboanpatch/setup/
    WindowBoanPatchSetup.exe (MD5 : 74add766aee64d6837ec006d26c5df4b) :: 프로그램 설치 파일

해당 프로그램에 대한 정보는 "온라인 게임핵(OnlineGameHack) 악성코드 감염 예방법 (4)" 사례로 소개한 적이 있으므로 참고하시기 바랍니다.

 

(3) <Right Security Blog> 검색 도우미 : 에브리툴바(EveryToolbar) (2011.3.11)

  • h**p://dn.every****bar.co.kr/everytoolbar/program/DownEveryToolbar.exe (MD5 : 9c91977e541eb799046091203511e3fb) - MSE : Trojan:Win32/Sisproc (VT : 32/47) :: 프로그램 설치 드랍퍼(Dropper)
  • h**p://dn.every****bar.co.kr/everytoolbar/down/everytoolbar2_setup.exe (MD5 : 3c0ef7daca9de907866dfe49bac20904) :: 프로그램 설치 파일

(4) 아이키퍼(IKeeper) 유해 사이트 차단 프로그램에 포함된 광고 주의 (2013.8.19)

  • h**p://download.**keeper.co.kr/ikeeper/setup/ikeeperdown.exe (MD5 : 3b1fbb038d895c74eaa95ff80637079e) :: 프로그램 설치 드랍퍼(Dropper)
  • h**p://dn.**keeper.co.kr/ikeeper/setup/ikeepersetup.exe (MD5 : bdd59e41ab896d17adb8c9404f2ccd1c) :: 프로그램 설치 파일

(5) 제휴(스폰서) 프로그램 : Favorite Icons Manager (2012.2.16)

  • h**p://www.favorite******.com/setup/favoriteiconssetup.exe (MD5 : 0091e9e9ccf31f1b33f5aa9ab6a737ac) - Symantec : Trojan.ADH.2 (VT : 16/48)

해당 프로그램은 "바탕화면 아이콘 관리마법사" 이름으로 제어판에 등록될 수 있습니다.

 

5. "FileDown 1.0.0.2" 프로그램 삭제 정보

 

프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 다음과 같은 절차에 따라 진행하시기 바랍니다.

 

(1) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 [sc stop "FileDown Services"] 명령어를 입력 및 실행하여 메모리에 상주하는 FDUpSvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(2) 제어판에 등록된 "FileDown 1.0.0.2" 삭제 항목을 선택하여 프로그램을 삭제하시기 바랍니다.

프로그램 삭제 이후에는 추가적으로 "C:\Users\(사용자 계정)\Documents\파일다운 받은 파일" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\filedown_new
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {F51B664C-827D-48c8-BBC5-1879E77C2552}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{70171C86-7A8A-4fe9-BC5F-CEEEA5E989BC}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - FDStart = "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUp.exe" /startup
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{14FEB0F3-8AFB-488d-8D27-8B8144B6D98C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{3DAF4612-9AE9-4236-868C-F650A8E1E5A8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\FDDownloadMoniker.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\FDDownloadUI.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{70171C86-7A8A-4fe9-BC5F-CEEEA5E989BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F51B664C-827D-48c8-BBC5-1879E77C2552}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FGDownloadMoniker.FGDownloadMk
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FGDownloadMoniker.FGDownloadMk.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FGDownloadUI.FGDownloadUIBHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\FGDownloadUI.FGDownloadUIBHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{316BE96B-EBBD-4896-AD06-B5E8C8B25D87}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{62C6BA06-ACC5-40DF-8A0D-CF7428D51201}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6DCAA043-7988-4BA3-8802-D546AFBB1B43}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BBE4C58F-2F29-4E03-8C1E-CE721B865C43}
HKEY_LOCAL_MACHINE\SOFTWARE\filedown_new
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{70171C86-7A8A-4fe9-BC5F-CEEEA5E989BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{70171C86-7A8A-4fe9-BC5F-CEEEA5E989BC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - FDStart = "C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FDUp.exe" /startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
FileDown
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\FileDown Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\
Parameters\FirewallPolicy\FirewallRules
 - {2C9A00F4-8CB3-4DAD-A6C0-C11A13A47189} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FileDown2.exe|Name=FileDown2|
 - {E933B1E3-CBCA-4D5E-9210-18DEDD4D4A38} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\filedown_new\FileDown2.exe|Name=FileDown2|

 

인터넷 상에서 파일 다운로드시 웹 브라우저가 제공하는 다운로더(Downloader) 창이 아니라 위와 같은 방식의 다운로더(Downloader) 창을 통해 다양한 제휴 프로그램을 설치하는 프로그램(파일)이 많이 발견되고 있으므로 주의하시기 바랍니다.