Internet Explorer 웹 브라우저를 이용하여 파일 다운로드를 시도할 경우 "보물섬 다운로드 도우미 - SpeedDown 다운로더" 창이 생성되어 추가적인 다수의 제휴 프로그램을 일괄 설치하도록 유도하는 "SpeedDown 1.0.0.2" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 유사한 기능을 가진 "FileDown 1.0.0.2" 다운로드 도우미 프로그램의 변종이므로 참고하시기 바랍니다.
프로그램 설치 과정을 살펴보면 배포 파일<SHA-1 : d4fc4b09e5c762cb16c72d7a7e6c07636012f83b - avast! : Win32:Malware-gen (VT : 7/52)>이 다운로드 및 실행되면, 특정 서버로부터 "SpeedDown 1.0.0.2" 프로그램 설치 파일(SHA-1 : 248012fec5bae4db1d211d0a35882cc824820782)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\SpeedDown2Install.exe" 파일로 생성되어 설치가 진행됩니다.
C:\Users\(사용자 계정)\AppData\Local\Temp\SpeedDown2Install.exe
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\advUrl.dat
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\AllInsConfig_v2.dat
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\fileExt.dat
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\InsConfig_v2.dat
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPCounter.exe
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPDownloadMoniker.dll
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPDownloadUI.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SpeedDown.ini
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SpeedDown2.exe :: SpeedDown 다운로더 창 생성 파일
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUpSvc.exe :: 서비스(SpeedDown Services) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPVersion.ini
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\uninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\Update
C:\Users\(사용자 계정)\Documents\스피드다운 받은 파일
C:\Windows\Temp\SPTime.ini
"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 "SpeedDown 1.0.0.2" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new" 폴더에 파일을 생성합니다.
설치된 프로그램은 "SpeedDown Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUpSvc.exe" 파일(SHA-1 : 6534abcde2452699f1b1ff0f37c13456c12d7492)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SPStart = "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe" /startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SPStart = "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe" /startup
또한 Windows 시작시 SPStart 시작 프로그램 등록을 통해 ["C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe" /startup] 파일(SHA-1 : 60120763df24f08ecd32931de3261e9dba673f01)을 자동 실행하도록 구성되어 있습니다.
자동 실행된 파일(SPUp.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUpdate.exe" 파일(SHA-1 : 20ab095d4c9cf0a92378858fff17382b39d45cac)을 로딩하여 특정 서버로부터 자기 자신을 다운로드(업데이트)하여 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\Update\SPUpdate.exe" 파일로 생성합니다.
부팅시마다 다운로드되어 업데이트 폴더에 생성된 파일(SPUpdate.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUpdate.exe" 파일을 패치하는 기능을 수행하며, 이를 통해 특정 서버로부터 프로그램 버전 체크(C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPVersion.ini)를 수행합니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {9D86BF4E-B211-4A6C-ADD5-9D6F4E1AE39C} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SpeedDown2.exe|Name=SpeedDown2|
- {ABE90033-3BE6-4B7E-832E-0D90380505CF} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SpeedDown2.exe|Name=SpeedDown2|또한 "SpeedDown 1.0.0.2" 프로그램은 원활한 기능 수행을 위해 Windows 방화벽에 "SpeedDown2" 프로그램을 허용 목록에 등록하여 차단하지 않도록 하고 있습니다.
|
이름 |
SDDownloadUIBHO Class |
|
게시자 |
DreamWiz Internet Co.,Ltd |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{D9BA8B87-96C6-4031-B5E6-5F2D8DB28A6D} |
|
파일 |
C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPDownloadUI.dll |
"SpeedDown 1.0.0.2" 프로그램은 Internet Explorer 웹 브라우저에서 파일 다운로드를 동작을 감시할 목적으로 "SDDownloadUIBHO Class" 브라우저 도우미 개체(BHO)를 등록하는 과정에서 사용자에 의한 기능 중지(사용 안 함)를 하지 못하도록 방해하는 기능이 포함되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
구현 방식은 프로그램 설치 과정에서 "IgnoreFrameApprovalCheck" 그룹 정책 설정을 추가하여 사용자에 의한 브라우저 도우미 개체(BHO) 허용 여부를 묻지 않고 자동으로 추가 기능 관리에 등록하며, 이로 인하여 사용자가 기능 중지를 위해 "SDDownloadUIBHO Class" 항목을 선택하여 "사용 안 함"으로 전환시 변경되지 않도록 할 수 있는 것으로 판단됩니다.
그러므로 "사용 안 함"으로 변경하도록 허용하기 위해서는 레지스트리 편집기(regedit)를 실행하여 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Ext\IgnoreFrameApprovalCheck" 값을 찾아 삭제하신 후 "사용 안 함"으로 변경하시기 바랍니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 이용하여 파일 다운로드를 시도할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SpeedDown2.exe" 파일(SHA-1 : ea36438589ad326c05ac09b7d42d0c55681c2f8e) 실행을 통해 "보물섬 다운로드 도우미 - SpeedDown 다운로더" 창이 생성되는 동작을 확인할 수 있습니다.
이 과정에서 다운로더 창 하단에 배치된 제휴 프로그램(전송시 주소창 검색서비스,스마트탭,G코덱,멀티코덱,하우코덱 설치동의) 체크 박스를 해제하지 않은 상태로 파일 다운로드를 시도할 경우 원치않는 프로그램 다수가 자동으로 설치될 수 있으므로 주의하시기 바랍니다.
■ 제휴 프로그램 정보
(1) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)
- h**p://download.kt****search.co.kr/ktqooksearch/launcher/downkthopensearch.exe (SHA-1 : a13e8a358c19967c8c2fca4dbd10f42abe60448d) - avast! : Win32:HowSoft-A [PUP] (VT : 8/51)
- h**p://download.kt****search.co.kr/ktqooksearch/setup/kth_opensearch_fsetup.exe (SHA-1 : 99c82ba054ea3f69425154c08af307d8a4cd0b73) - AhnLab V3 : PUP/Win32.KTHOpenSearch (VT : 31/53)
- h**p://download.smart***.co.kr/smarttab/launcher/downsmarttab.exe (SHA-1 : 9eeeb19efcef028a3558ed159b796e0963d8ba14)
- h**p://download.smart***.co.kr/smarttab/setup/smarttabsetup.exe (SHA-1 : a380fb8633b45367146b0daf3a38f30f0d512513)
(3) G코덱 설치로 인한 오픈탭(OpenTab) 광고 주의 (2011.11.7)
- h**p://download.*codec.co.kr/gcodec/launcher/downgcodec.exe (SHA-1 : 2f9932aeb68715b222074ca264bbed0a69d85746) - BitDefender : Gen:Variant.Graftor.139707 (VT : 17/52)
- h**p://pds1.file-****.co.kr/file/GCodecSetup.exe (SHA-1 : 5c9110cbc6597179defc112dfef98adba6c46722) - Kaspersky : not-a-virus:Downloader.Win32.Agent.ahhq (VT : 7/50)
(4) 멀티코덱(MultiCodec) 설치로 인한 [연관 추천 태그] 팝업창 생성 주의 (2011.3.20)
- h**p://download.mul**codec.co.kr/multicodec/launcher/downmulticodec.exe (SHA-1 : 730d9e1e111b2380d0af899584cf5bc1e95fc6d2) - ESET : a variant of Win32/TrojanDownloader.Delf.ALM (VT : 9/52)
- h**p://download.mul**codec.co.kr/multicodec/setup/multicodecsetup.exe (SHA-1 : 5cb39100a404ee9f3307d64cf78cdb741e046cc7) - Kaspersky : Trojan.Win32.Badur.hqoi (VT : 8/51)
프로그램 삭제를 위해서는 "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SpeedDown Services"] 명령어를 입력 및 실행하여 메모리에 상주하는 서비스 프로세스(SPUpSvc.exe)를 자동 종료하시기 바랍니다.
이후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "SpeedDown 1.0.0.2" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\Documents\스피드다운 받은 파일" 폴더를 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
- DownloadUI = {AD26EAC9-5B0A-4842-B5B0-CC24FE92F03B}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D9BA8B87-96C6-4031-B5E6-5F2D8DB28A6D}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
- IgnoreFrameApprovalCheck = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SPStart = "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe" /startup
HKEY_CURRENT_USER\Software\speeddown_new
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{8332FAB5-3C80-4f06-BF8F-E7DC551789AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{8C3451B4-44A7-407d-8894-A2798D3C5AB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SPDownloadMoniker.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SPDownloadUI.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AD26EAC9-5B0A-4842-B5B0-CC24FE92F03B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9BA8B87-96C6-4031-B5E6-5F2D8DB28A6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{42E07D2E-6713-48F3-BB19-05579149FE6F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CAC241A6-01D6-4D45-8E28-261507D511AE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SDDownloadMoniker.SDDownloadMk
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SDDownloadMoniker.SDDownloadMk.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SDDownloadUI.SDDownloadUIBHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SDDownloadUI.SDDownloadUIBHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CDF2891D-933C-4902-BD4F-E3204BDB5180}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{E6D78CA8-A596-4A73-BB21-81850FD98E1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D9BA8B87-96C6-4031-B5E6-5F2D8DB28A6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D9BA8B87-96C6-4031-B5E6-5F2D8DB28A6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SPStart = "C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new\SPUp.exe" /startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedDown
HKEY_LOCAL_MACHINE\SOFTWARE\speeddown_new
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
- {9D86BF4E-B211-4A6C-ADD5-9D6F4E1AE39C} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming
\speeddown_new\SpeedDown2.exe|Name=SpeedDown2|
- {ABE90033-3BE6-4B7E-832E-0D90380505CF} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Users\(사용자 계정)\AppData\Roaming\speeddown_new
\SpeedDown2.exe|Name=SpeedDown2|
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SpeedDown Services
"SpeedDown 1.0.0.2" 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저를 이용하여 파일 다운로드시마다 생성되는 다운로더 창에 포함된 제휴 프로그램 체크 박스를 해제해야 하는 불편과 실수로 인하여 다수의 프로그램이 부가적으로 설치될 수 있으므로 주의하시기 바랍니다.