울지않는벌새 : Security, Movie & Society

과도한 디스크 사용을 유발하는 v_Service 그리드(Grid) 프로그램 주의 (2015.3.5)

벌새::Analysis

국내 대부분의 웹하드 프로그램은 설치시 그리드(Grid) 프로그램을 필수적으로 설치하며 특히 개별 소프트웨어로 설치되어 웹하드 프로그램 삭제 이후에도 그대로 PC에 남아있는 문제가 있습니다.

이런 문제로 KT 인터넷 회선 사용자의 경우에는 알림창을 통해 NAT Service 그리드(Grid) 프로그램에 대한 삭제를 안내하는 창이 생성될 수도 있습니다.

 

그런데 2014년 하반기경부터 국내 일부 웹하드 프로그램에 NAT Service 그리드(Grid) 프로그램 외에 추가적으로 V-Grid 그리드(Grid) 프로그램을 배포한 적이 있었습니다.

 

이후 최근 V-Grid 프로그램이 설치된 일부 환경에서 오류창을 유발하는 등의 문제가 있다는 정보가 있어서 관련 이슈에 대해 확인해 보았습니다.

대표적인 배포 사이트는 국내 웹하드에서는 현재 쉽게 발견되지 않고 있으며 중국(China)에 위치한 웹하드에서 배포가 이루어지고 있는 것을 발견할 수 있습니다.

웹하드에서 배포하는 설치 파일을 실행할 경우 이용약관 제시없이 자동으로 설치가 이루어지고 있으며, 이 과정에서 "C:\Program Files\Diskzoo\diskzoo_speedup_setup.exe" 파일(SHA-1 : 6375591624600e919cd434a9260bc1524b8b5687)을 생성하여 그리드(Grid) 프로그램을 설치한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\v_service
C:\Program Files\v_service\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\v_service\v_member.exe :: 메모리 상주 프로세스
C:\Program Files\v_service\v_service.exe :: 서비스(v_Service) 등록 파일, 메모리 상주 프로세스

Sonia 디지털 서명(※ 웹하드에서 사용하는 디지털 서명)이 포함된 해당 프로그램은 "C:\Program Files\v_service" 폴더에 파일을 생성합니다.

"v_Service (표시 이름 : v_Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\v_service\v_service.exe" 파일(SHA-1 : f75cb0149efd953cceb2d23e5368a13bb09a80c1)을 자동 실행하여 "C:\Program Files\v_service\v_member.exe" 파일(SHA-1 : f14bd99e647c62dc46e2cecc63fb24336fdb313b)을 추가 로딩하여 메모리에 상주시킵니다.

실행된 "C:\Program Files\v_service\v_member.exe" 파일은 5분이 경과하면 V-Grid 업데이트 서버에서 버전 체크를 통해 다음과 같은 추가 업데이트를 진행합니다.

 

[생성 / 수정 파일 등록 정보]

 

C:\Program Files\v_service\v_member :: 기존 v_member.exe 파일 백업(재부팅시 자동 삭제)

C:\Program Files\v_service\v_member.exe :: 업데이트 패치(SHA-1 : 7bda9a5cecf166aed562958d5d44e00b35ccf31a)

 

업데이트를 통해 패치된 v_member.exe 파일은 V-Grid에서 사용하는 "ganasoft inc" 디지털 서명이 포함된 파일로 변경됩니다.

 

위와 같이 설치된 "v_service unintall" 그리드(Grid) 프로그램이 시스템 부팅 이후 웹하드 서비스 이용과 무관하게 독자적으로 어떤 동작을 하는지 살펴보겠습니다.

 

1. 최초 부팅 이후 v_Service를 통해 자동 실행 후 5분 대기

부팅이 이루어진 후 v_Service를 통해 자동 실행된 "v_service.exe + v_member.exe" 프로세스는 5분 동안 아무런 동작없이 대기합니다.

 

2. 업데이트 체크 및 130MB 수준의 Disk I/O 발생

5분이 경과하면 "C:\Program Files\v_service\v_member.exe" 파일은 프로그램 업데이트 이후 V-Grid 서버와 통신을 시도하며 "clubnara-0000-0000" 시그니처 값을 포함하고 있습니다.

이를 통해 짧은 시간(10~20초) 동안 디스크 읽기를 과도하게 사용하여 하드 디스크를 긁는 소리가 발생할 수 있으며, 디스크 및 CPU 사용률이 급격하게 상승하는 것을 확인할 수 있습니다.

실제 Disk I/O 수치를 확인해보면 130MB 수준이며 해당 동작은 부팅 후 5분이 경과하면 동일하게 이루어진 후 자동 종료 처리됩니다.

 

3. 규칙적으로 재동작하는 v_member.exe 파일 및 오류 발생

 

최초 실행된 v_member.exe 파일은 5분 경과시 하드 디스크 읽기를 과도하게 수행한 후 자동 종료 처리된 후 5분이 경과하면 재실행되어 5분을 대기합니다.

최초 실행 후 대기(5분) → 10~20초(디스크 읽기) 동작 후 자동 종료 → 5분 경과 후 재실행(대기) → 10초 동작 후 자동 종료 → 반복 ……

위와 같은 무한 반복적인 재실행 및 종료를 통해 "v_service unintall" 그리드(Grid) 프로그램은 다른 그리드(Grid) 프로그램에 비해 활발한 동작을 수행할 수 있습니다.

이 과정에서 그리드(Grid) 동작을 수행하던 v_member.exe 파일이 오류가 발생할 수 있는 것으로 확인됩니다.

 

"v_service unintall" 그리드(Grid) 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "v_Service"] 명령어를 입력 및 실행하여 v_service.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) Windows 작업 관리자를 실행하여 v_member.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

(c) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "v_service unintall" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\v_service.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
diskzoo_speedup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\v_Service

 

웹하드 서비스 이용을 목적으로 설치하는 웹하드 프로그램은 필수적으로 그리드(Grid) 프로그램이 함께 설치된다는 점을 명심하시기 바라며, 웹하드 서비스를 장기간 이용하지 않는 경우에는 반드시 그리드(Grid) 프로그램을 삭제하시기 바랍니다.

 

또한 "v_service unintall" 그리드(Grid) 프로그램처럼 과도하게 동작하여 디스크 및 CPU 사용을 하는 경우가 있으므로 현명한 판단을 통해 사용 여부를 결정하시기 바랍니다.