제작사 출처를 확인할 수 없는 로지컬락(LogicalLock) 프로그램(MD5 : 7fc15a1d87f0c1677a9dc7f95e8950a2)을 이용하여 USB에 키(Key) 생성을 통해 PC를 잠그는(Lock) 기능을 제공한다는 프로그램에 대해 살펴보도록 하겠습니다.
C:\Program Files\logicallock
C:\Program Files\logicallock\LogicalLock_Agent.exe
C:\Program Files\logicallock\LogicalLock_KeyWizard.exe
C:\Program Files\logicallock\LogicalLock.exe
C:\Program Files\logicallock\LogicalLockLauncher.exe :: 로지컬락(LogicalLock) 프로그램 설정 파일
C:\Program Files\logicallock\LogicalLockUp.exe :: 예약 작업(logicallock) 등록 파일
C:\Program Files\logicallock\partner.ini
C:\Program Files\logicallock\SysTray.ocx
C:\Program Files\logicallock\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\logicallock\updatelist.ini
C:\Windows\System32\Tasks\logicallock
C:\Program Files\logicallock\LogicalLock_Agent.exe
- MD5 : a61cf0a5718e9478f28b83391651647b
- Hauri ViRobot : JS.A.Pakes.69632.A (VT : 3/47)
C:\Program Files\logicallock\LogicalLockLauncher.exe
- MD5 : 1a9dca49c1430f417449a3de59295130
- Hauri ViRobot : JS.A.Pakes.715264 (VT : 3/47)
해당 프로그램은 "C:\Program Files\logicallock" 폴더에 파일을 생성하며, 프로그램이 설치된 환경에서는 프로그램 목록 또는 바로가기 아이콘을 생성하지 않는 방식으로 사용자는 로지컬락(LogicalLock) 프로그램 사용을 실질적으로 이용하지 못합니다.
만약 프로그램 실행을 위해서는 사용자가 "C:\Program Files\logicallock\LogicalLockLauncher.exe" 파일을 찾아 직접 실행을 한 경우에만 그림과 같은 키(Key) 생성 및 감시 기능을 통해 동작할 수 있지만, 현실적으로 위와 같이 프로그램을 실행하여 사용하는 사용자는 거의 존재하지 않을 것으로 보입니다.
그렇다면 프로그램 출처조차 확인이 어려운 로지컬락(LogicalLock) 프로그램을 배포하였던 이유에 대해 살펴보도록 하겠습니다.
예약 작업에 "logicallock" 작업 스케줄러를 등록하여 시스템 시작시 "C:\Program Files\logicallock\LogicalLockUp.exe /lco" 파일이 자동 실행되도록 구성되어 있습니다.
이를 통해 특정 서버로부터 로지컬락(LogicalLock) 프로그램의 업데이트 정보를 체크하며, 특정 시점에서는 다음과 같은 설치창이 표시될 수 있습니다.
▷ 제휴(스폰서) 프로그램 : 도로명 검색(Doro-Search) (2013.3.25)
▷ 제휴(스폰서) 프로그램 : 로또왕 (2013.5.11)
생성된 설치창에서는 기존에 확인된 제휴 프로그램 배포 목적으로 제작된 프로그램들과 유사성이 강하므로 참고하시기 바랍니다.
해당 설치창에서 사용자가 "빠른설치(전체)" 버튼을 클릭시 제공되는 모든 제휴 프로그램이 자동으로 설치되며, "사용자지정" 버튼을 클릭시 다음과 같은 화면을 볼 수 있습니다.
사용자 지정 설치 화면에서는 Windows XP 운영 체제에서는 각 구성 요소에 대한 체크 박스가 표시되지만, Windows 7 운영 체제에서는 체크 박스가 표시되지 않는 문제가 확인되고 있습니다.
이를 통해 총 25종의 다양한 제휴 프로그램을 사용자가 체크 박스 해제를 하지 않은 상태에서 "다음" 버튼을 클릭시 자동으로 설치되도록 제작되어 있습니다.
참고로 현재 테스트 시점에서는 배포 서버 자체가 사라진 관계로 이들 프로그램 모두는 다운로드되지 않은 죽은 프로그램으로 보입니다.
프로그램 삭제를 위해서는 제어판에 등록된 "로지컬락" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\logicallock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
logicallock
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2B242E8E-AC4B-41A8-999E-6C758388604C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\logicallock
위와 같이 사용자에게 유용한 프로그램처럼 홍보하여 설치를 유도하지만 실제로는 프로그램 사용은 하지 못하도록 불편하게 설치되면서 업데이트 기능을 통해 대량의 제휴 프로그램의 배포 통로로 이용하는 경우가 있으므로 주의하시기 바랍니다.