울지않는벌새 : Security, Movie & Society

해외 제휴 프로그램 : Optimizer Pro v3.2 + LiveSupport

벌새::Analysis

해외에서 제작된 제휴 프로그램 중 시스템 최적화 프로그램 "Optimizer Pro"를 이용하여 유료 결제를 유도하는 사례에 대해 살펴보도록 하겠습니다.

  Beat the Boss 3 크랙 파일(.apk)로 위장한 해외 광고 프로그램 유포 사례 (2014.1.3)

 

확인된 대표적인 유포 방식은 링크 내용을 참고하시기 바라며, 국내 인터넷 사용자들 역시 해외에서 제작된 제휴 프로그램에 많이 노출되어 있으므로 파일 실행시 영문을 제대로 읽는 습관을 가지시기 바랍니다.

설치 여부를 묻는 화면에서는 "Optimizer Pro" 프로그램<SHA-1 : 7b25d2eff5dfddc0754424fa3d7c8f82464c18d5 - Dr.Web : Trojan.Fakealert.44938 (VT : 4/48)>과 함게 "LiveSupport" 프로그램(SHA-1 : d4e3c5c242faae19a814e4286c8324418010ba3c)이 함께 설치된다고 언급되어 있습니다.

 

[생성 폴더 / 파일 등록 정보 : Optimizer Pro v3.2 프로그램]

 

C:\Program Files\Optimizer Pro
C:\Program Files\Optimizer Pro\CookiesException.txt
C:\Program Files\Optimizer Pro\English.ini
C:\Program Files\Optimizer Pro\file_id.diz
C:\Program Files\Optimizer Pro\HomePage.url
C:\Program Files\Optimizer Pro\OptimizerPro.chm
C:\Program Files\Optimizer Pro\OptimizerPro.exe :: 프로그램 실행 파일
C:\Program Files\Optimizer Pro\OptProGuard.exe
C:\Program Files\Optimizer Pro\OptProLauncher.exe :: 시작 프로그램 등록 파일
C:\Program Files\Optimizer Pro\OptProReminder.exe :: 메모리 상주 프로세스
C:\Program Files\Optimizer Pro\OptProSchedule.exe
C:\Program Files\Optimizer Pro\OptProSmartScan.exe :: 메모리 상주 프로세스
C:\Program Files\Optimizer Pro\OptProStart.exe
C:\Program Files\Optimizer Pro\OptProUninstaller.exe
C:\Program Files\Optimizer Pro\scan.gif
C:\Program Files\Optimizer Pro\sqlite3.dll
C:\Program Files\Optimizer Pro\StartupList.txt
C:\Program Files\Optimizer Pro\unins000.dat
C:\Program Files\Optimizer Pro\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\Optimizer Pro\unins000.msg
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Check updates.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Help.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro on the Web.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Optimizer Pro.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2\Uninstall Optimizer Pro.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}
C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}\setup.exe
C:\Users\(사용자 계정)\Desktop\Optimizer Pro.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\Optimizer Pro\OptimizerPro.exe
 - SHA-1 : 2c06a350ea95b428e1bd9bbc94b5932061ec71db
 - ESET : a variant of Win32/SpeedingUpMyPC (VT : 4/48)

 

C:\Program Files\Optimizer Pro\OptProLauncher.exe
 - SHA-1 : 888e0f78f11013e11283da19cde2b574e4e8833b
 - ESET : a variant of Win32/AdWare.SpeedingUpMyPC.D (VT : 2/47)

 

C:\Program Files\Optimizer Pro\OptProSmartScan.exe
 - SHA-1 : 34edac09c618f20d260a0b2ab6e51584ea4996ee
 - ESET : a variant of Win32/Adware.SpeedingUpMyPC.C (VT : 3/48)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\{99B7F292-CE93-499F-B0AF-946D9A079DD0}\setup.exe
 - SHA-1 : 0380f75c38967e098931412dbbb8df88935bd66f
 - ESET : a variant of Win32/SpeedingUpMyPC (VT : 2/47)

"PC Utilities Software Limited" 디지털 서명이 포함된 "Optimizer Pro v3.2" 프로그램은 "C:\Program Files\Optimizer Pro" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\Optimizer Pro\OptProLauncher.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.(※ 해당 프로그램은 변종에 따라 "Optimizer Pro v3.0"과 같이 프로그램 이름의 버전이 달라질 수 있습니다.)

프로그램이 설치된 후 일정 시간이 경과하면 자동으로 실행되어 시스템 검사를 통해 시스템 최적화를 위한 치료(Fix)를 유도합니다.

치료를 위해서는 등록(Register)을 통해 활성화 라이센스 키를 입력하도록 창을 생성하고 있습니다.

등록 페이지로 연결되는 웹 사이트는 한국인을 대상으로 번역기로 작성된 한글 페이지를 출력하는 것이 특징입니다.

흥미로운 점은 Optimizer Pro 프로그램이 설치된 상태에서 연결된 결제 사이트의 가격과 Optimizer Pro 프로그램 삭제 후 자동으로 생성되는 결제 사이트의 가격이 옵션 선택 여부와 상관없이 심하게 차이가 있습니다.

또한 시스템 부팅시마다 시스템 트레이 알림 아이콘 상단에 "Optimizer Pro Performance Monitor" 팝업창을 생성하여 결제를 유도하고 있습니다.

 

이번에는 Optimizer Pro 프로그램 설치시 부가적으로 함께 설치되는 Optimizer Pro 관련 고객센터(FAQ) 기능을 하는 LiveSupport 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보 : LiveSupport 프로그램]

 

C:\Program Files\LiveSupport
C:\Program Files\LiveSupport\LiveSupport_deskband_x32.dll
C:\Program Files\LiveSupport\LiveSupport_deskband_x64.dll
C:\Program Files\LiveSupport\LiveSupport.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\LiveSupport\unins000.dat
C:\Program Files\LiveSupport\unins000.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport\LiveSupport.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LiveSupport\Uninstall LiveSupport.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\LiveSupport_setup.exe
C:\Users\(사용자 계정)\Desktop\LiveSupport.lnk

LiveSupport 프로그램은 "C:\Program Files\LiveSupport" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

LiveSupport 프로그램이 설치된 환경에서는 사용자가 선택한 Windows 창의 우측 상단 영역에 그림과 같은 아이콘을 자동으로 생성하여 Optimizer Pro 프로그램 고객센터 전화 번호 및 웹 사이트 연결을 지원하고 있습니다.

 

Optimizer Pro와 LiveSupport 프로그램이 설치된 환경에서는 바탕 화면에 바로가기 아이콘을 생성하여 사용자가 설치 여부를 쉽게 인식할 수 있지만, 다수의 사용자들은 어떤 과정에서 설치가 이루어졌는지 제대로 인지하지 못할 가능성도 높다고 판단됩니다.

Optimizer Prod와 LiveSupport 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 LiveSupport.exe, OptProReminder.exe, OptProSmartScan.exe 3개의 프로세스를 찾아 종료하시기 바랍니다.

그 후 제어판에 등록된 "LiveSupport", "Optimizer Pro v3.2" 2개의 삭제 항목을 이용하여 삭제할 수 있습니다.

 

프로그램 삭제 후에는 LiveSupport 프로그램의 시작 프로그램 등록 레지스트리 값이 삭제되지 않으므로 레지스트리 편집기(regedit)를 실행하여 다음의 키값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - LiveSupport = "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
[생성 레지스트리 등록 정보 : Optimizer Pro v3.2 프로그램]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Optimizer Pro = C:\Program Files\Optimizer Pro\OptProLauncher.exe
HKEY_CURRENT_USER\Software\Optimizer Pro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Optimizer Pro_is1

 

[생성 레지스트리 등록 정보 : LiveSupport 프로그램]

 

HKEY_CURRENT_USER\Software\LiveSupport
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - LiveSupport = "C:\Program Files\LiveSupport\LiveSupport.exe" /noshow /log
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBFCF40E-A87B-463F-A782-55BDD4160B5E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LiveSupport_is1

 

해외에서 제작된 Optimizer Pro 시스템 최적화 프로그램은 설치된 환경에서 사용자에게 심각한 불편함을 유발하지는 않지만 시스템에 큰 문제를 유발하지 않는 임시 파일, 레지스트리 값을 진단하여 부정확한 유료 결제를 유도하는 신뢰할 수 없는 제품으로 판단됩니다.

 

또한 다양한 제휴 프로그램 유포 방식을 통해 사용자의 부주의한 선택을 통해 설치가 이루어지는 것으로 보이므로 이런 프로그램에 속아서 금전적 피해를 입지 않도록 주의하시기 바랍니다.