본문 바로가기

벌새::Analysis

해외 제휴 프로그램 : Optimizer Pro v3.2 + LiveSupport

해외에서 제작된 제휴 프로그램 중 시스템 최적화 프로그램 "Optimizer Pro"를 이용하여 유료 결제를 유도하는 사례에 대해 살펴보도록 하겠습니다.

  Beat the Boss 3 크랙 파일(.apk)로 위장한 해외 광고 프로그램 유포 사례 (2014.1.3)

 

확인된 대표적인 유포 방식은 링크 내용을 참고하시기 바라며, 국내 인터넷 사용자들 역시 해외에서 제작된 제휴 프로그램에 많이 노출되어 있으므로 파일 실행시 영문을 제대로 읽는 습관을 가지시기 바랍니다.

설치 여부를 묻는 화면에서는 "Optimizer Pro" 프로그램<SHA-1 : 7b25d2eff5dfddc0754424fa3d7c8f82464c18d5 - Dr.Web : Trojan.Fakealert.44938 (VT : 4/48)>과 함게 "LiveSupport" 프로그램(SHA-1 : d4e3c5c242faae19a814e4286c8324418010ba3c)이 함께 설치된다고 언급되어 있습니다.

 

[생성 폴더 / 파일 등록 정보 : Optimizer Pro v3.2 프로그램]

 

C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro\CookiesException.txt
C:\Program Files\Optimizer Pro\English.ini
C:\Program Files\Optimizer Pro\file_id.diz
C:\Program Files\Optimizer Pro\HomePage.url
C:\Program Files\Optimizer Pro\OptimizerPro.chm
C:\Program Files\Optimizer Pro\OptimizerPro.exe :: 프로그램 실행 파일
C:\Program Files\Optimizer Pro\OptProGuard.exe
C:\Program Files\Optimizer Pro\OptProLauncher.exe :: 시작 프로그램 등록 파일
C:\Program Files\Optimizer Pro\OptProReminder.exe :: 메모리 상주 프로세스
C:\Program Files\Optimizer Pro\OptProSchedule.exe
C:\Program Files\Optimizer Pro\OptProSmartScan.exe :: 메모리 상주 프로세스
C:\Program Files\Optimizer Pro\OptProStart.exe
C:\Program Files\Optimizer Pro\OptProUninstaller.exe
C:\Program Files\Optimizer Pro\scan.gif
C:\Program Files\Optimizer Pro\sqlite3.dll
C:\Program Files\Optimizer Pro\StartupList.txt
C:\Program Files\Optimizer Pro\unins000.dat
C:\Program Files\Optimizer Pro\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\Optimizer Pro\unins000.msg
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Check updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro on the Web.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Uninstall Optimizer Pro.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}
C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}\setup.exe
C:\Users\(사용자 계정)\Desktop\Optimizer Pro.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\Optimizer Pro\OptimizerPro.exe
 - SHA-1 : 2c06a350ea95b428e1bd9bbc94b5932061ec71db
 - ESET : a variant of Win32/SpeedingUpMyPC (VT : 4/48)

 

C:\Program Files\Optimizer Pro\OptProLauncher.exe
 - SHA-1 : 888e0f78f11013e11283da19cde2b574e4e8833b
 - ESET : a variant of Win32/AdWare.SpeedingUpMyPC.D (VT : 2/47)

 

C:\Program Files\Optimizer Pro\OptProSmartScan.exe
 - SHA-1 : 34edac09c618f20d260a0b2ab6e51584ea4996ee
 - ESET : a variant of Win32/Adware.SpeedingUpMyPC.C (VT : 3/48)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}\setup.exe
 - SHA-1 : 0380f75c38967e098931412dbbb8df88935bd66f
 - ESET : a variant of Win32/SpeedingUpMyPC (VT : 2/47)

"PC Utilities Software Limited" 디지털 서명이 포함된 "Optimizer Pro v3.2" 프로그램은 "C:\Program Files\Optimizer Pro" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\Optimizer Pro\OptProLauncher.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.(※ 해당 프로그램은 변종에 따라 "Optimizer Pro v3.0"과 같이 프로그램 이름의 버전이 달라질 수 있습니다.)

프로그램이 설치된 후 일정 시간이 경과하면 자동으로 실행되어 시스템 검사를 통해 시스템 최적화를 위한 치료(Fix)를 유도합니다.

치료를 위해서는 등록(Register)을 통해 활성화 라이센스 키를 입력하도록 창을 생성하고 있습니다.

등록 페이지로 연결되는 웹 사이트는 한국인을 대상으로 번역기로 작성된 한글 페이지를 출력하는 것이 특징입니다.

흥미로운 점은 Optimizer Pro 프로그램이 설치된 상태에서 연결된 결제 사이트의 가격과 Optimizer Pro 프로그램 삭제 후 자동으로 생성되는 결제 사이트의 가격이 옵션 선택 여부와 상관없이 심하게 차이가 있습니다.

또한 시스템 부팅시마다 시스템 트레이 알림 아이콘 상단에 "Optimizer Pro Performance Monitor" 팝업창을 생성하여 결제를 유도하고 있습니다.

 

이번에는 Optimizer Pro 프로그램 설치시 부가적으로 함께 설치되는 Optimizer Pro 관련 고객센터(FAQ) 기능을 하는 LiveSupport 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보 : LiveSupport 프로그램]

 

C:\Program Files\LiveSupport
C:\Program Files\LiveSupport\LiveSupport_deskband_x32.dll
C:\Program Files\LiveSupport\LiveSupport_deskband_x64.dll
C:\Program Files\LiveSupport\LiveSupport.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\LiveSupport\unins000.dat
C:\Program Files\LiveSupport\unins000.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport\LiveSupport.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport\Uninstall LiveSupport.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\LiveSupport_setup.exe
C:\Users\(사용자 계정)\Desktop\LiveSupport.lnk

LiveSupport 프로그램은 "C:\Program Files\LiveSupport" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

LiveSupport 프로그램이 설치된 환경에서는 사용자가 선택한 Windows 창의 우측 상단 영역에 그림과 같은 아이콘을 자동으로 생성하여 Optimizer Pro 프로그램 고객센터 전화 번호 및 웹 사이트 연결을 지원하고 있습니다.

 

Optimizer Pro와 LiveSupport 프로그램이 설치된 환경에서는 바탕 화면에 바로가기 아이콘을 생성하여 사용자가 설치 여부를 쉽게 인식할 수 있지만, 다수의 사용자들은 어떤 과정에서 설치가 이루어졌는지 제대로 인지하지 못할 가능성도 높다고 판단됩니다.

Optimizer Prod와 LiveSupport 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 LiveSupport.exe, OptProReminder.exe, OptProSmartScan.exe 3개의 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "LiveSupport", "Optimizer Pro v3.2" 2개의 삭제 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 후에는 LiveSupport 프로그램의 시작 프로그램 등록 레지스트리 값이 삭제되지 않으므로 레지스트리 편집기(regedit)를 실행하여 다음의 키값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - LiveSupport = "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
[생성 레지스트리 등록 정보 : Optimizer Pro v3.2 프로그램]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Optimizer Pro = C:\Program Files\Optimizer Pro\OptProLauncher.exe
HKEY_CURRENT_USER\Software\Optimizer Pro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1

 

[생성 레지스트리 등록 정보 : LiveSupport 프로그램]

 

HKEY_CURRENT_USER\Software\LiveSupport
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - LiveSupport = "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBFCF40E-A87B-463F-A782-55BDD4160B5E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LiveSupport_is1

 

해외에서 제작된 Optimizer Pro 시스템 최적화 프로그램은 설치된 환경에서 사용자에게 심각한 불편함을 유발하지는 않지만 시스템에 큰 문제를 유발하지 않는 임시 파일, 레지스트리 값을 진단하여 부정확한 유료 결제를 유도하는 신뢰할 수 없는 제품으로 판단됩니다.

 

또한 다양한 제휴 프로그램 유포 방식을 통해 사용자의 부주의한 선택을 통해 설치가 이루어지는 것으로 보이므로 이런 프로그램에 속아서 금전적 피해를 입지 않도록 주의하시기 바랍니다.

  • 남겨주신 댓글 잘읽어 보았습니다.
    저또한 데이터파일호스트 서버에서
    애드파일이 함께 다운로드 된다는것은 알고 있으나
    그를 대처할만한 웹서버를 찾기 힘들어 데이터파일호스트 서버를 계속
    이용하고 있습니다. 드롭박스는 트래픽이 조금만 올라도 나오는
    509 에러 현상때문에 드롭박스론 블로그 운영에 힘든 점이 있습니다
    이를 대처하기위해 다운로드 방법 및 애드 파일 삭제 방법을
    블로그 공지사항으로 작성도 해놓았구요
    http://7poon.tistory.com/notice/283 및
    http://7poon.tistory.com/337
    관심과 지적의 댓글은 감사합니다 ^^ 허나 다른 분들에게
    제가 악성 코드를 배포한다는 오해의 소지가 있어 댓글은 삭제 하였습니다
    죄송합니다 즐거운 하루 되세요 ^^

  • 바람의 나그네 2014.02.13 02:36 댓글주소 수정/삭제 댓글쓰기

    애독하는 블로그이고 많이 참고하는 곳이라
    저는...참고하시라고 이 블로그를 소개시켜 드린건데
    오해하셨군요.
    이 블로그의 주인장님은 댓글 다시지 않았습니다. 그건 제가 단 겁니다.
    죄송합니다...
    괜한 참견으로 주인장님만 곤란하게 해드렸네요.
    두분께 정말 죄송합니다.

  • 바람의 나그네 2014.02.14 00:02 댓글주소 수정/삭제 댓글쓰기

    윗분 블로그에도 오해 푸시라고 글 남겼습니다.
    거듭해서 죄송하고 정말 미안합니다.

  • http://romhustler.net/ 의 다운로더랑 같이 배포되는 프로그램이네요. 설치시 주의가 필요하겠습니다. 좋은 정보 감사합니다.