KM코덱(KMCodec) 프로그램에 포함된 광고 기능 주의 (2015.1.20)

국내에서 제작된 KM코덱(KMCodec) 프로그램(SHA-1 : d71f35d0760b715cd582357d624d21aefe43cd0a)을 통해 추가적인 제휴 프로그램 설치 유도 및 인터넷 검색시 광고가 생성되는 문제에 대해 살펴보도록 하겠습니다.

 

• 하우코덱(HowCodec) 설치로 인한 연관 추천 태그 광고 팝업창 주의 (2011.3.18)

• 멀티코덱(MultiCodec) 설치로 인한 [연관 추천 태그] 팝업창 생성 주의 (2011.3.20)

• G코덱 설치로 인한 오픈탭(OpenTab) 광고 주의 (2011.11.7)

• 브이코덱(VCodec) 설치로 인한 멀티탭 광고 주의 (2011.12.16)

• <Right Security Blog> 코덱플러스(CodecPlus) 설치로 인한 광고 기능 주의 (2012.5.27)

• 곰플레이어 통합코덱으로 오해하는 브이코덱(vCodec) 광고 주의 (2014.8.18)

광고 기능이 필수적으로 포함된 통합코덱 프로그램을 이용한 기법은 기존부터 꾸준하게 발견되고 있으므로 참고하시기 바랍니다.

KM코덱(KMCodec) 프로그램의 이용약관에서는 "제8조. 소프트웨어의 부가 서비스 기능" 항목을 통해 필수적으로 광고 기능이 포함되어 있음을 언급하고 있으며, 설치 단계에서 우측 하단 영역에 사용자가 제대로 확인하지 못하도록 희미한 글자로 다수의 제휴 프로그램을 일괄 설치하도록 유도하고 있으므로 매우 주의하시기 바랍니다.

(1) 바로가기 아이콘 생성 프로그램 : FavoriteIconsV2 (2014.7.10)

• h**p://download2.favorite******.com/favorite-icons/launcher/downFavoriteIconsV2.exe (SHA-1 : 88a13c2b7ed15871ce03ac3f8300962c56091c91) - Avria : Adware/Downware.BJ (VT : 5/57)
• <추가 다운로드> h**p://download2.favorite******.com/favorite-icons/setup/FavoriteIconsV2Setup.exe (SHA-1 : b68f5780928d0fe06090d3c538ca5059cbe7e540)

(2) 다운로드 도우미 : FileDown 1.0.0.2 (2013.10.3)

• h**p://download.file*****.co.kr/launcher/DownFileDown2.exe (SHA-1 : c9b6f70bfd78be4c3fb7476fc7812c0be11ff0fa) - Avira : Adware/Gitty.sde (VT : 9/57)
• <추가 다운로드> h**p://download.file*****.co.kr/setup/filedown2install.exe (SHA-1 : cbc2b7b85060ce0389d890aed818b9e63adfd63e) - AhnLab V3 365 Clinic : PUP/Win32.FileDown (VT : 25/57)

(3) 검색 도우미 : 스마트탭 (2014.5.24)

• h**p://download.smart***.co.kr/smarttab/launcher/downsmarttab.exe (SHA-1 : 0da1c8ae375b5837d99798015d5061610596fe31)
• <추가 다운로드> h**p://download.smart***.co.kr/smarttab/setup/smarttabsetup.exe (SHA-1 : 40af97fc9a21127554c88a6f4c339654a7aed7df) - McAfee : Artemis!CB86F7335D09 (VT : 5/55)

(4) 검색 도우미 : KTH 열린 주소창 서비스 VER 2.0 - KTH_OpenSearch (2012.5.10)

• h**p://download.kt****search.co.kr/ktqooksearch/launcher/downkthopensearch.exe (SHA-1 : 51847d775971f784d529ec896daa74a05c532730) - Kaspersky : Trojan.Win32.Badur.mnbn (VT : 12/57)
• <추가 다운로드> h**p://download.kt****search.co.kr/ktqooksearch/setup/kth_opensearch_fsetup.exe (SHA-1 : 99c82ba054ea3f69425154c08af307d8a4cd0b73) - AhnLab V3 365 Clinic : PUP/Win32.KTHOpenSearch (VT : 31/57)

(5) 다운로드 도우미 : SpeedDown 1.0.0.2 (2014.5.26)

• h**p://download.speed****load.kr/launcher/downFileDown.exe (SHA-1 : cc99a4a6de83bb744311e9b66eec809a89f5b6ed)
• <추가 다운로드> h**p://download.speed****load.kr/setup/SpeedDown2Install.exe (SHA-1 : 248012fec5bae4db1d211d0a35882cc824820782) - Norton : Trojan.Gen.SMH.2 (VT : 6/57)

[생성 폴더 / 파일 등록 정보 : 코덱 기능 제외]

 

C:\Users\(사용자 계정)\AppData\Roaming\KMCodec
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecch.exe
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecopen.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecsvc.exe :: 서비스(KMCRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecuninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecup.exe
C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\version.dat

(주)네오유엑스 디지털 서명이 포함된 해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\KMCodec" 폴더에 파일을 생성합니다.

"KMCRunS (표시 이름 : KMCodec Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecsvc.exe" 파일(SHA-1 : 9a98a8e0875a1c80a9668169eba209c4d2989658)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(kmcodecsvc.exe)은 "C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecup.exe" 파일(SHA-1 : 9313a234de6d62a965ac7dd7ce9a80fe52133a82)을 로딩하여 프로그램 버전 체크를 통해 "C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\up" 폴더에 업데이트 파일을 임시 다운로드 및 패치를 수행한 후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmcodecopen.exe" 파일(SHA-1 : c6995f0b8378e26b575b5947c993c9d8a371ea43)을 로딩하여 광고 구성값 체크를 통해 메모리에 상주시킵니다.

KM코덱(KMCodec) 프로그램이 설치된 환경에서 인터넷 검색시 사용자가 입력한 검색 키워드 값을 기반으로 특정 광고 서버에서 매칭되는 경우 광고탭 생성을 통한 광고가 노출될 수 있을 것으로 판단됩니다.

• C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmwebF.txt
• C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmwebN.txt
• C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmwebS.txt
• C:\Users\(사용자 계정)\AppData\Roaming\KMCodec\kmwebT.txt

특히 인터넷 검색시 입력된 검색 키워드 값은 KM코덱(KMCodec) 프로그램이 지속적으로 로그(Log) 파일을 작성하는 동작을 확인할 수 있습니다.

 

■ Internet Explorer 웹 브라우저 설정 변경 문제

 

KM코덱(KMCodec) 프로그램이 설치된 환경에서는 프로그램의 기능 수행을 위한 Internet Explorer 웹 브라우저의 설정값 일부를 임의로 변경합니다.

 

(a) "별도의 행에 탭 표시" 항목을 자동 체크하여 멀티탭 위치를 수정하여 다수의 광고탭이 노출되도록 합니다.

 

(b) "DisableAddonLoadTimePerformanceNotifications" 레지스트리 값 활성화를 통해 "추가 기능을 사용하지 않도록 설정하여 검색 속도를 높입니다.(원치 않는 추가 기능을 사용하지 않도록 설정하여 검색 속도 높이기)" 알림을 표시하는 노란색 알림 기능을 비활성화합니다.

 

이는 광고 기능 수행으로 웹 브라우저 속도가 저하될 수 있는 부분을 웹 브라우저에서 경고하지 못하게 할 수 있습니다.

 

(c) "IgnoreFrameApprovalCheck" 레지스트리 값 활성화를 통해 Internet Explorer 웹 브라우저의 "도구 모음 및 확장 프로그램"이 사용자 동의없이 자동으로 등록되도록 변경합니다.

 

■ KM코덱(KMCodec) 프로그램 삭제 방법

KM코덱(KMCodec) 프로그램이 설치되어 동작시에는 kmcodecopen.exe, kmcodecsvc.exe 2개의 프로세스가 메모리에 상주하고 있습니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "KMCRunS"] 명령어를 입력 및 실행하여 kmcodecsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 kmcodecopen.exe 프로세스를 찾아 종료하시기 바랍니다.

(c) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "KMCodec" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

(d) 프로그램 삭제 후 "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "KMCRunS"] 명령어를 입력 및 실행하여 제거되지 않은 서비스 등록값을 자동 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\kmcodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Ext
 - DisableAddonLoadTimePerformanceNotifications = 1
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\KMCodec
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\KMCRunS

 

특히 KM코덱(KMCodec) 프로그램 삭제 후 Internet Explorer 웹 브라우저 설정을 변경한 레지스트리 값(DisableAddonLoadTimePerformanceNotifications, IgnoreFrameApprovalCheck)을 찾아 추가적으로 삭제하시기 바랍니다.

 

위와 같이 지속적으로 통합코덱 프로그램 내부에 광고 기능을 포함하여 설치를 하는 사례가 발견되고 있으므로 원치않는 광고 노출로 고생하는 일이 없도록 주의하시기 바랍니다.