울지않는벌새 : Security, Movie & Society

곰플레이어 통합코덱으로 오해하는 브이코덱(vCodec) 광고 주의 (2014.8.18)

벌새::Analysis

2011년 하반기경에 처음 등장한 브이코덱(vCodec) 프로그램에 내장된 광고 기능에 대한 글을 작성한 이후 최근 변종 브이코덱(vCodec) 프로그램이 배포되면서 여전히 많은 사용자들이 오해와 불편을 겪는 것으로 보입니다.

브이코덱(vCodec) 프로그램은 기본적으로 광고 기능이 필수적으로 포함되어 있는 문제로 설치한 이후에는 원치않는 광고창이 노출되어 인터넷 이용시 상당한 불편을 유발할 수 있으며, 사용자는 코덱(Codec) 프로그램으로 인한 문제인지 쉽게 알기 어렵습니다.

특히 곰플레이어(GOM Player) 공식 홈 페이지의 코덱 자료실에 노출되는 광고 배너를 통해 설치가 이루어질 수 있기에 일부 사용자들은 일명 "곰플레이어 통합코덱"으로 판단하여 설치하는 사례가 있을 것으로 추정됩니다.

브이코덱(vCodec) 배포 파일(SHA-1 : 49cb583617804846887456110fd2f05552c3b92f)을 통해 설치를 진행해보면 설치 과정에서 우측 하단 영역에 사용자가 제대로 확인할 수 없는 글자색을 이용하여 다수의 제휴 프로그램(아이콘 정리기, 파일다운, 스마트탭, 주소창 검색 서비스, 스피드 다운로드)의 설치를 강요하는 것을 확인할 수 있습니다.

 

(1) 바로가기 아이콘 생성 프로그램 : FavoriteIconsV2 (2014.7.10)

  • h**p://download2.favorite-*****.com/favorite-icons/launcher/downFavoriteIconsV2.exe (SHA-1 : 88a13c2b7ed15871ce03ac3f8300962c56091c91)
  • <추가 다운로드> h**p://download2.favorite-*****.com/favorite-icons/setup/FavoriteIconsV2Setup.exe (SHA-1 : dc616f68c2c3bd1fb2313009d8dbad9cd9c3c948)

(2) 다운로드 도우미 : FileDown 1.0.0.2 (2013.10.3)

  • h**p://download.file-****.co.kr/launcher/DownFileDown2.exe (SHA-1 : c9b6f70bfd78be4c3fb7476fc7812c0be11ff0fa)
  • <추가 다운로드> h**p://download.file-****.co.kr/setup/filedown2install.exe (SHA-1 : cbc2b7b85060ce0389d890aed818b9e63adfd63e) - BitDefender : Trojan.GenericKD.1699038 (VT : 23/54)

(3) 검색 도우미 : 스마트탭 (2014.5.24)

  • h**p://download.smart***.co.kr/smarttab/launcher/downsmarttab.exe (SHA-1 : 2c46e8f40622c2bdc14a93226f690474b8fda40b) - AhnLab V3 : PUP/Win32.Smarttab.C497790 (VT : 34/53)
  • <추가 다운로드> h**p://download.smart***.co.kr/smarttab/setup/smarttabsetup.exe (SHA-1 : a380fb8633b45367146b0daf3a38f30f0d512513)

(4) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)

  • h**p://download.kt****search.co.kr/ktqooksearch/launcher/downkthopensearch.exe (SHA-1 : a13e8a358c19967c8c2fca4dbd10f42abe60448d) - BitDefender : Trojan.Generic.11323768 (VT : 22/54)
  • <추가 다운로드> h**p://download.kt****search.co.kr/ktqooksearch/setup/kth_opensearch_fsetup.exe (SHA-1 : 99c82ba054ea3f69425154c08af307d8a4cd0b73) - AhnLab V3 : PUP/Win32.KTHOpenSearch.R51368 (VT : 36/54)

(5) 다운로드 도우미 : SpeedDown 1.0.0.2 (2014.5.26)

  • h**p://download.speed****load.kr/launcher/downFileDown.exe (SHA-1 : 01818737364793519e6412578c8617ff8ae54432)
  • <추가 다운로드> h**p://download.speed****load.kr/setup/SpeedDown2Install.exe (SHA-1 : 248012fec5bae4db1d211d0a35882cc824820782)
[생성 폴더 / 파일 등록 정보 : 일부 코덱(Codec) 파일 정보 생략]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\FFDShow Audio Decoder 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\FFDShow VFW Encoder 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\FFDShow Video Decoder 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\VSFilter (DirectVobSub) 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\x264 비디오 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\XviD 비디오 디코더 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\vcodec\XviD VFW 환경설정.lnk
C:\Users\(사용자 계정)\AppData\Roaming\vcodec
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\AC3FILTER
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\catedomain.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\category.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\category.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\CDXA Reader
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\CoreAAC
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\CoreFLAC Decoder
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\CoreVorbis Decoder
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\domainmatch.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\except.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\FFDShow MPEG-4 Video Decoder
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\FLVSplitter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\GPL MPEG-1,2 Decoder
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\mainsite.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Matroska Splitter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Media Player Classic
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\MP3 디코더
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Mpeg2Dec Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\MpegSplitter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\OggSplitter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\outdomain.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\RadLight APE Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\RadLight MPC Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\RadLight OFR Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\RadLight TTA Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\RealMedia Splitter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\SubtitleSource Filter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vccmdomain.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecband.dll
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecch.exe
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecopen.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecopen.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecsite.dt
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecsvc.exe :: 서비스(VCRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecup.exe
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vd.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\version2.dat
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\VSFilter
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\x264 Video Codec
C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Xvid Video Codec

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecopen.exe
 - SHA-1 : 946c79680e0d24dd5928c6e23204afcdfaa5a216
 - AhnLab V3 : PUP/Win32.GCodec.R115822 (VT : 1/54)

"Hue communication" 디지털 서명이 포함된 브이코덱(vCodec) 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\vcodec" 폴더에 파일을 생성합니다.

"VCRunS (표시 이름 : VCodec Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecsvc.exe" 파일(SHA-1 : 3108735628c97e73df9b497c35fbefd3eefe7b3d)을 자동 실행하며, 이를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecup.exe" 파일(SHA-1 : 1454d2b78ac5d148c12104784daba4c6c961a215) 로딩을 통한 업데이트 체크를 수행합니다.

 

만약 새로운 버전이 존재할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\vcodec\up" 폴더에 파일 다운로드 후 기존의 파일 삭제 및 패치가 이루어집니다.

 

그 후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\vcodec\vcodecopen.exe" 파일을 로딩하여 메모리에 상주시켜 광고 구성값 정보를 체크합니다.

이를 통해 Windows 부팅 과정에서 사용자가 입력한 이전 검색 키워드 값을 참조하여 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고창을 전체 화면 크기로 생성할 수 있습니다.

또한 인터넷 검색시 검색 키워드 값을 기반으로 한 2종의 광고탭을 자동으로 노출하는 동작을 확인할 수 있습니다.

생성된 광고탭을 클릭할 경우 흐릿한 이미지로 표시(tab.vcodec.co.kr)한 후 자동으로 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고 사이트로 연결이 이루어지는 구조입니다.

 

그 외에도 인터넷 검색을 통해 웹 사이트 접속 과정에서 제휴 코드(cl.ncclick.co.kr)가 포함된 광고창을 전체 화면 크기로 노출시켜 불편을 유발할 수 있습니다.

 

■ Internet Explorer 웹 브라우저 정책 변경으로 인한 문제

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1

브이코덱(vCodec) 프로그램이 설치된 환경에서는 레지스트리 값 정책을 임의로 변경하여 Internet Explorer 웹 브라우저의 기능을 중지하도록 제작되어 있습니다.

  • DisableAddonLoadTimePerformanceNotifications : "추가 기능을 사용하지 않도록 설정하여 검색 속도를 높입니다.(원치 않는 추가 기능을 사용하지 않도록 설정하여 검색 속도 높이기)" 알림 표시줄 비활성화
  • IgnoreFrameApprovalCheck : 도구 모음 및 확장 프로그램에 브라우저 도우미 개체(BHO) 또는 툴바(Toolbar) 자동 등록

이로 인하여 브이코덱(vCodec) 프로그램 삭제 이후에도 해당 정책값이 유효하여 사용자의 동의없이 확장 프로그램이 자동 활성화되거나 Internet Explorer 웹 브라우저 실행 속도를 저하하는 플러그인의 존재를 인지 못하도록 할 수 있습니다.

 

■ 브이코덱(vCodec) 삭제 방법

특히 브이코덱(vCodec) 프로그램이 설치된 환경에서는 사용자들은 통합코덱 기능만을 제공하는 것으로 판단하기 쉬우며, 광고 기능을 삭제하기 위해서는 브이코덱(vCodec) 프로그램 자체를 삭제해야 문제가 해결됩니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "VCRunS"] 명령어를 입력 및 실행하여 vcodecsvc.exe 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 광고 기능을 수행하는 vcodecopen.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "vcodec" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

 

(d) 프로그램 삭제 후 다음의 폴더(파일)를 찾아 직접 제거하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\vcodec
  • C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Media Player Classic
  • C:\Users\(사용자 계정)\AppData\Roaming\vcodec\Media Player Classic\MPCVIDEODEC.AX

(e) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "VCRunS"] 명령어를 입력 및 실행하여 제거되지 않은 서비스 레지스트리 값을 제거하여 "VCRunS (표시 이름 : VCodec Service)" 서비스 항목을 자동 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\vcodec
HKEY_LOCAL_MACHINE\SOFTWARE\vcodec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\VCRunS

 

브이코덱(vCodec) 프로그램은 통합코덱 기능을 제공하지만 광고 기능이 필수적으로 포함되어 있는 문제로 프로그램이 설치된 환경에서는 인터넷 이용시 상당한 불편을 유발하고 있으며, 곰플레이어(GOM Player)에는 자체 내장 코덱이 있으므로 통합코덱을 부가적으로 사용할 이유는 거의 없다고 판단됩니다.