울지않는벌새 : Security, Movie & Society

다운로드 도우미 : Windows Utiland Download Controller

벌새::Analysis

스팸(Spam) 블로그 또는 파일 자료실을 이용하여 인터넷 사용자들이 많이 찾는 프로그램의 설치 파일로 위장하여 실행시 제휴 프로그램 설치 유도 및 필수적으로 설치되는 "Windows Utiland Download Controller" 프로그램을에 대해 살펴보도록 하겠습니다.

현재 운영되고 있는 파일 자료실을 통해 확인해보면 예를 들어 "한컴타자 번개손" 프로그램을 다운로드할 수 있도록 제공하는 정상적인 자료실처럼 구성되어 있습니다.

다운로드된 파일(MD5 : 0a6e138c2cf88be5c251bd16f95d8d82)에는 GMT 디지털 서명이 포함되어 있는 것이 특징입니다.

 

  "라리사 말춤 원본 동영상"을 이용한 Windows UtilWorld Download Controller 설치 주의 (2012.12.22)

 

  웹 문서 검색 노출을 이용한 Windows FileTap Download Controller 설치 주의 (2012.12.27)

 

  제휴(스폰서) 프로그램 : EzCleanHelper Controller (2013.3.19)

 

또한 GMT 디지털 서명을 이용한 유사한 Download Controller와 관련된 사례가 확인되고 있으므로 참고하시기 바랍니다.

다운로드한 파일을 실행하면 "Utiland DownloadControl" 창이 생성되어 사용자가 다운로드하려는 파일(tbsetup.exe)을 다운로드할 수 있도록 구성되어 있습니다.

 

이 과정에서 사용자가 실행한 파일 내부에 포함되어 있던 파일이 "C:\Users\(사용자 계정)\AppData\Local\Temp\tbsetup.exe" (= Utiland_DownloadControl.exe) 파일(MD5 : 2fb7bf6eddcdb0699511f6debb4aeb64)로 생성되어 사용자가 파일 전송 버튼을 클릭하기를 기다립니다.

 

해당 다운로드 창을 살펴보면 "Utiland 다운로더(Utiland 엔진 업데이트, 컨텐츠 업데이트)" 프로그램은 필수적으로 설치되며, 권장 프로그램으로 현재 5종의 광고성 프로그램들이 포함되어 있습니다.

 

사용자가 권장 프로그램을 잘 발견하여 5개의 체크 박스 모두를 해제하고 파일 전송을 시작하면 사용자가 원한는 "한컴타자 번개손" 설치 파일을 다운로드가 이루어지며, 추가적으로 백그라운드 방식으로 필수 설치 프로그램이 함께 설치됩니다.(※ 일반적으로 위와 같은 다운로드 과정에서 사용자들은 제휴 프로그램(권장 프로그램)의 체크만 해제하면 어떤 프로그램도 설치가 이루어지지 않을 것으로 생각할 수 있습니다.)

설치 과정을 살펴보면 특정 파일 자료실 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates\Utiland_UDControl_01_
install.exe"
파일<MD5 : bad2ee42a2d7ff002e12ce45ec4c620e - ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 6/46)>로 생성 및 실행되어 다음과 같은 프로그램을 설치한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Utiland
C:\Program Files\Utiland\Utiland_UDControl.exe :: 시작 프로그램 등록 파일
C:\Program Files\Utiland\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Utiland\Utiland_UDControl.exe
 - MD5 : 813a7c5b2eae18eeae61a75fb5e6aeda
 - ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 3/47)

설치된 프로그램은 "C:\Program Files\Utiland" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\Utiland\Utiland_UDControl.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 시작 프로그램 파일(Utiland_UDControl.exe)은 시스템 시작 과정에서 특정 서버로부터 제휴 프로그램 정보를 체크하여 특정 시점에서는 그림과 같은 다운로드 창을 생성하여 불필요한 프로그램(PUP, PUA)의 설치를 유도할 수 있습니다.

설치된 프로그램의 삭제를 위해서는 제어판에 등록된 "Windows Utiland Download Controller" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Utiland_UDControl = C:\Program Files\Utiland\Utiland_UDControl.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Utiland_UDControl uninstall

 

현재 "Utiland DownloadControl" 창을 통해 추가적으로 설치될 수 있는 5종의 제휴 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates" 폴더에 설치 파일을 다운로드하여 설치가 진행되며 관련 정보는 다음과 같습니다.

 

(1) 제휴(스폰서) 프로그램 : 윈도우뷰콘(Window ViewCon) - windowviewcon(goorma) uninstall (2012.4.30)

  • h**p://****.muuk.co.kr/app/windowviewcon/WindowviewconSetup_ispark_v.exe (MD5 : 59f31d8e615c848b673db0ec01764e2e) - nProtect : Adware/W32.Agent.144976 (VT : 24/47)

(2) 검색 도우미 : Windows purchase helper Uninstall (2012.11.18)

  • h**p://****.muuk.co.kr/app/windowpurchase/WindowsPurchaseHelperSetup_ispark.exe (MD5 : 81f4b9b1cf82ec4ac5f616f17b490b01) - nProtect : Adware/W32.Agent.145016 (VT : 20/47)

(3) 검색 도우미 : WindowsTab (2013.7.4)

  • h**p://****.muuk.co.kr/app/windowstab/WindowsTabSetup_ispark.exe (MD5 : fd871cf95f05cb3ebd8eb9edb06041c1) - Kaspersky : Trojan.Win32.Agent.acitm (VT : 30/47)

(4) 검색 도우미 : Windows kwinstart (2013.5.27)

  • h**p://****.kwinstart.com/setup_salgoo_silent.exe (MD5 : b296c02f6d942d5314a65c15147ea5da) - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.ht (VT : 7/47)

(5) 검색 도우미 : INIWebLink (2013.3.28)

  • h**p://file.tar***keyword.co.kr/app/iniweblink/INIWebLinkSetup_P029_1.exe (MD5 : 0812d9767e64ca1eef05b22c64dae064) - nProtect : Adware/W32.Agent.1865112 (VT : 9/47)

그러므로 인터넷 상에서 프로그램을 다운로드하실 때에는 반드시 제작사 홈 페이지 또는 신뢰할 수 있는 파일 자료실을 이용하시기 바라며, 프로그램 설치시에는 화면을 꼼꼼하게 살펴서 추가적으로 설치될 가능성이 있는 경우에는 실행하지 않도록 하시기 바랍니다.