울지않는벌새 : Security, Movie & Society

홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

벌새::Analysis

도박, 성인 사이트와 같은 유해 사이트에 접속하지 못하도록 차단 기능을 제공하는 홈케어(HomeCare) 유해 사이트 차단 프로그램에 필수적으로 포함된 광고 기능을 통해 인터넷 검색시 원치않는 광고창을 다수 생성하는 사례에 대해 살펴보도록 하겠습니다.

 

  <2011년~2013년 관련 정보> 매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MC Program" 광고 주의 (2013.12.28) 외 11종

 

  광고 기능이 포함된 유해 사이트 차단 프로그램 "Windows WebCare" 주의 (2014.2.17)

 

해당 프로그램은 유사한 기능을 가진 다양한 변종 프로그램이 지속적으로 배포되고 있었으므로 참고하시기 바랍니다.

 

대표적인 프로그램 배포 방식은 광고성 홈 페이지를 추가하는 "Internet Dualpage KB25031400" 프로그램의 업데이트 창에 포함된 제휴 프로그램을 통해 확인할 수 있습니다.

설치 과정을 살펴보면 제휴 프로그램에 포함되어 있는 홈케어(HomeCare) 배포 파일<SHA-1 : 568dd9b55b2cf21a7e54be79b25a868b6ae54ea8 - AhnLab V3 : PUP/Win32.Security (VT : 12/49)>이 다운로드 및 실행되어 특정 서버에서 홈케어(HomeCare) 설치 파일<SHA-1 : ba308772337ecc32f871f3b6309537656475ae1b - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 21/50)>을 추가 다운로드하여 "C:\Program Files\HomeCare\HomeCareSetupVer1.0.exe" 파일로 생성 및 실행되어 설치가 이루어집니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\HomeCare

C:\Program Files\HomeCare\category.dt
C:\Program Files\HomeCare\hcsctrl.exe :: 메모리 상주 프로세스
C:\Program Files\HomeCare\hcsh.exe
C:\Program Files\HomeCare\hcsm.exe :: 홈케어(HomeCare) 프로그램 실행 파일
C:\Program Files\HomeCare\hcsp.exe
C:\Program Files\HomeCare\hcspot.exe :: 메모리 상주 프로세스
C:\Program Files\HomeCare\hcsprotect.dll
C:\Program Files\HomeCare\hcssrv.exe :: 서비스(Service for homecare) 등록 파일, 메모리 상주 프로세스
C:\Program Files\HomeCare\hcswizard.dll
C:\Program Files\HomeCare\hcsy.dll
C:\Program Files\HomeCare\hcvs.dat
C:\Program Files\HomeCare\HomeCareSetupVer1.0.exe
C:\Program Files\HomeCare\nhopen.dll
C:\Program Files\HomeCare\proc_data.dat
C:\Program Files\HomeCare\pros_data.dat
C:\Program Files\HomeCare\uninstall.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\홈케어
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\홈케어\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\홈케어

 

[생성 파일 진단 정보]

 

C:\Program Files\HomeCare\hcsctrl.exe
 - SHA-1 : ca8846ffcd47a65d50feae4a79c59a1d47a1d6d5
 - avast! : Win32:Adware-AZC [Adw] (VT : 1/51)

 

C:\Program Files\HomeCare\hcsh.exe
 - SHA-1 : 981c858b8dfd1ca99051d250966223ed09775398
 - avast! : Win32:Adware-AZC [Adw] (VT : 3/48)

 

C:\Program Files\HomeCare\hcsm.exe
 - SHA-1 : 3ca32c9fadee7c67e97588ea2eef5f49561573fd
 - avast! : Win32:Adware-AZC [Adw] (VT : 2/49)

 

C:\Program Files\HomeCare\hcsp.exe
 - SHA-1 : c3dd21b49a958500c8849d3388303586769ddb02
 - ESET : a variant of Win32/AdWare.Kraddare.JQ (VT : 5/51)

 

C:\Program Files\HomeCare\hcspot.exe
 - SHA-1 : 962058385968d8e6327881399b95e66cfa90a017
 - AhnLab V3 : PUP/Win32.URLHelper (VT : 30/51)

 

C:\Program Files\HomeCare\hcsprotect.dll
 - SHA-1 : 73b0197c234979534adfd7fe65525b48bb1e0187
 - AhnLab V3 : PUP/Win32.WebCare (VT : 2/50)

 

C:\Program Files\HomeCare\hcssrv.exe
 - SHA-1 : 238723175c4640ae34b56ebfd6598313eb8dc04e
 - BitDefender : Gen:Variant.Adware.Kraddare.16 (VT : 19/51)

 

C:\Program Files\HomeCare\hcswizard.dll
 - SHA-1 : 3c85f7571c45c740a03d4d8b85a66a5ba6e4805a
 - nProtect : Adware/W32.KrAdword.681944 (VT : 22/48)

 

C:\Program Files\HomeCare\hcsy.dll
 - SHA-1 : b6250cb56d974cfec60619557ec7c46180524653
 - avast! : Win32:Adware-AZC [Adw] (VT : 1/51)

 

C:\Program Files\HomeCare\HomeCareSetupVer1.0.exe
 - SHA-1 : SHA-1 : ba308772337ecc32f871f3b6309537656475ae1b
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 21/50)

 

C:\Program Files\HomeCare\nhopen.dll
 - SHA-1 : 6934d165f52424ca5baaf770f8aa46effacb5247
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 4/49)

 

C:\Program Files\HomeCare\uninstall.exe
 - SHA-1 : eddbecc1ff290e818d03ea2f4b2e5bf318a61a69
 - AhnLab V3 : PUP/Win32.WebCare (VT : 3/49)

"DivineMedia Inc." 디지털 서명이 포함된 홈케어(HomeCare) 프로그램은 "C:\Program Files\HomeCare" 폴더에 파일을 생성하며, 사용자가 프로그램 목록에 등록된 "홈케어\Setting" 항목을 실행할 경우 "C:\Program Files\HomeCare\hcsm.exe" 파일 실행을 통해 다음과 같은 프로그램 화면을 볼 수 있습니다.

생성된 홈케어(HomeCare) 설정 화면에서는 성인 사이트와 도박 사이트 차단 기능이 기본적으로 활성화되어 있으며, 해당 유해 사이트 차단 기능 이외에 필수적으로 포함되어 있는 광고 기능이 자동 실행됩니다.

 

1. "Service for homecare" 서비스 등록

"Service for homecare" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\HomeCare\hcssrv.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\HomeCare\hcsp.exe" 파일을 추가적으로 로딩합니다.

  • C:\Program Files\HomeCare\_tmphclcverd.dat :: 프로그램 버전 체크
  • C:\Program Files\HomeCare\_guide.html :: 이용약관 체크

실행된 hcsp.exe 파일은 특정 서버에서 프로그램 버전 및 이용약관 정보를 체크한 후 "C:\Program Files\HomeCare\hcsctrl.exe" 파일을 로딩한 후 자가 종료됩니다.

 

이를 통해 실행된 hcsctrl.exe 파일은 "C:\Program Files\HomeCare\hcspot.exe" 파일을 추가 로딩하여 메모리에 함께 상주하여 다음과 같은 광고 기능을 수행합니다.

 

2. 홈케어(HomeCare) 필수 광고 기능

 

(1) "C:\Program Files\HomeCare\hcsctrl.exe" 파일 기능

메모리에 상주하는 "C:\Program Files\HomeCare\hcsctrl.exe" 파일은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 검색 키워드와 접속 URL 값을 감시하여 추가적인 광고창을 자동으로 생성할 수 있습니다.

참고로 광고창 생성을 위해 연결되는 URL 값을 확인해보면 기존에 살펴본 SmartPush 검색 도우미 광고 서버와 연관되어 있습니다.

 

(2) "C:\Program Files\HomeCare\hcspot.exe" 파일 기능

"C:\Program Files\HomeCare\hcsctrl.exe" 파일 실행을 통해 추가적으로 로딩되어 메모리에 상주하는 "C:\Program Files\HomeCare\hcspot.exe" 파일은 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 추가적인 광고창을 생성합니다.

 

이 과정에서 오픈매치(ad.openmatch.co.kr) 광고 서버를 경유하여 광고창 생성이 이루어지고 있으므로 참고하시기 바랍니다.

 

3. 프로그램 삭제 방법

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Service for homecare"] 명령어를 입력 및 실행하여 메모리에 상주하는 hcssrv.exe 서비스 프로세스를 자동으로 종료하시기 바랍니다.

 

(b) Windows 작업 관리자를 실행하여 hcsctrl.exe, hcspot.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판에 등록된 "홈케어" 삭제 항목을 찾아 실행하시기 바랍니다.

프로그램 삭제시 생성된 "Uninstaller" 창에서 제시된 Password 값을 참고하여 "Password Confirm" 공란에 입력하시기 바랍니다.(※ 반드시 영문 대소문자를 구별하여 입력하시기 바랍니다.)

 

그 후 "Delete the program" 체크 박스에 체크를 한 후 "Delete" 버튼을 클릭하여 프로그램 삭제를 한 후, 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\HomeCare
  • C:\Program Files\HomeCare\uninstall.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Service for homecare
HKEY_CURRENT_USER\Software\magiccare
HKEY_CURRENT_USER\Software\Yestop
HKEY_LOCAL_MACHINE\SOFTWARE\homecare
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
HomeCare_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Service for homecare

 

홈케어(HomeCare) 유해 사이트 차단 프로그램은 본래의 기능 이외에 필수적으로 광고 기능이 함께 포함되어 있는 문제로 인하여 인터넷 검색시 2종의 광고창이 함께 생성되는 문제로 불편을 유발할 수 있습니다.

 

또한 과거부터 지속적으로 유사한 기능을 가진 유해 사이트 차단 프로그램을 통한 광고 행위가 확인되고 있으므로, 이러한 프로그램을 원치않는 사용자는 설치되지 않도록 주의하시기 바랍니다.