본문 바로가기

벌새::Analysis

제휴 프로그램 : DailyNewsCast

728x90
반응형

시스템 시작 후 바탕 화면에 "데일리 뉴스 캐스트(Daily News Cast)" 뷰어창을 생성하여 언론 기사를 노출시키는 DailyNewsCast 프로그램<SHA-1 : c518f3d9de861281dbc05e78a194be21181c6694 - Symantec : Trojan.ADH.X (VT : 2/54)>에 대해 살펴보도록 하겠습니다.

 

참고로 Windows 7 운영 체제 기준으로 사용자 계정 컨트롤(UAC) 보안 기능이 비활성화된 경우에만 정상적으로 설치 및 동작하는 저품질 프로그램으로 확인되고 있습니다.

배포용 파일이 실행되면 특정 서버로부터 설치 파일(SHA-1 : 58562a7058e6590ceb4a63c90db13c3bee729129)을 다운로드하여 "C:\temp\DailyNewsCastInstall.msi" 파일로 생성한 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Dodream
C:\Program Files\Dodream\DailyNewsCast
C:\Program Files\Dodream\DailyNewsCast\DailyNewsCast.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\Dodream\DailyNewsCast\dn_16.ico
C:\Program Files\Dodream\DailyNewsCast\dn_32.ico
C:\Program Files\Dodream\DailyNewsCast\dn_64.ico
C:\Program Files\Dodream\DailyNewsCast\DNCastLauncher.exe
C:\Program Files\Dodream\DailyNewsCast\DNCastSet.xml
C:\Program Files\Dodream\DailyNewsCast\Ionic.Zip.DLL
C:\Program Files\Dodream\DailyNewsCast\Ionic.Zip.xml

C:\temp\DailyNewsCastInstall.msi
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\데일리뉴스케스트.lnk
C:\Users\(사용자 계정)\Desktop\데일리뉴스케스트.lnk

"DoDream Communication co.,ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Dodream\DailyNewsCast" 폴더 내에 파일을 생성하며, Windows 시작시 "C:\Program Files\Dodream\DailyNewsCast\DailyNewsCast.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일은 사용자 IP 정보를 체크한 후 바탕 화면에 "데일리 뉴스 캐스트(Daily News Cast)" 뷰어창을 생성하여 다양한 언론 기사를 불러오도록 제작되어 있습니다.

 

또한 프로그램 목록 또는 바탕 화면에 생성된 데일리뉴스케스트 바로가기 아이콘을 실행한 경우 "C:\Program Files\Dodream\DailyNewsCast\DNCastLauncher.exe" 파일을 로딩하여 프로그램 버전 체크 후 "C:\Program Files\Dodream\DailyNewsCast\DailyNewsCast.exe" 파일 실행을 통해 "데일리 뉴스 캐스트(Daily News Cast)" 뷰어창을 생성합니다.

해당 프로그램의 기능 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 DailyNewsCast.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "DailyNewsCast" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\temp\DailyNewsCastInstall.msi" 파일을 찾아 추가적으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DailyNewsCast = C:\Program Files\Dodream\DailyNewsCast\DailyNewsCast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BF79EE9A-9ECA-4523-9979-4777FF35DE10}

 

DailyNewsCast 프로그램 자체는 사용자에 따라서는 유용한 프로그램으로 판단할 수 있지만, 배포 방식이 사용자가 부주의한 클릭을 통해 자신도 모르게 다양한 불필요한 프로그램(PUP)과 함께 설치되는 것으로 확인되고 있습니다.

728x90
반응형