본문 바로가기

벌새::Analysis

삭제되지 않는 RayDownload 해외 악성 제휴 프로그램 주의 (2016.1.4)

반응형

일전에 Opera 웹 브라우저가 제휴 프로그램을 통해 배포되는 문제에 대해 살펴보도록 중 발견된 RayDownload 해외 제휴 프로그램에 대해 살펴보도록 하겠습니다.

 

RayDownload 프로그램 홈 페이지에서 제공하는 설치 파일(SHA-1 : 42c0c39d54cf6415dd49eacacf247e6a6a527b01 - Malwarebytes : PUP.Optional.Elex)은 유효하지 않은 "WOODTALE TECHNOLOGY INC" 디지털 서명이 포함되어 있으며, 제휴 프로그램 형태로 배포되는 Ray_v1.0.0.3.exe 설치 파일(SHA-1 : 19ab53ca3bd6a7e44cbb968e8f39a4c4f5d45f5e - Microsoft : BrowserModifier:Win32/SupTab)은 "Thinknice Co. Limited" 디지털 서명이 포함되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\RayDld
C:\Program Files\RayDld\DuiLib.dll
C:\Program Files\RayDld\ihpmServer.exe :: 서비스(ihpmServer) 등록 파일, 메모리 상주 프로세스
C:\Program Files\RayDld\Raydld.exe :: RayDownload 프로그램 실행 파일
C:\Program Files\RayDld\skin
C:\Program Files\RayDld\uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\RayDld\DuiLib.dll
 - SHA-1 : 754aaff00ff2bb51767b4ff7d1cce1aca147ea39
 - Microsoft : BrowserModifier:Win32/SupTab

 

C:\Program Files\RayDld\ihpmServer.exe
 - SHA-1 : adb27adf286fb5a220c3d9661a6416839e9e05d2
 - Hauri ViRobot : Adware.Agent.271464[h]

 

C:\Program Files\RayDld\Raydld.exe
 - SHA-1 : dbb5b4deeeea4a5ebd7f3089574fe7f7fba109bf
 - ESET : a variant of Win32/ELEX.GJ potentially unwanted

"Thinknice Co. Limited" 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\RayDld" 폴더에 파일을 생성합니다.

"ihpmServer (표시 이름 : ihpmServer)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\RayDld\ihpmServer.exe" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

외형적으로는 사용자가 "C:\Program Files\RayDld\Raydld.exe" 파일을 직접 실행할 경우 RayDownload 파일 다운로더 프로그램이 실행되어 URL 값 입력을 통해 "C:\RayDownload" 폴더에 파일을 다운로드하는 기능을 수행할 수 있습니다.

 

하지만 RayDownload 프로그램 실행을 위한 바로가기 아이콘(메뉴)이 없다는 점에서 실제로는 자동 실행되는 서비스 파일(ihpmServer.exe)이 핵심 기능으로 추정됩니다.

이를 뒷받침하는 증거로는 특정 서버(theviilage.com)에서 국가, 프로그램 버전 등의 고유 정보를 체크하며 차후 추가적인 다운로드 기능을 수행할 수 있으며, 실제 해당 서버 정보를 조회해보면 다수의 해외 악성 광고 프로그램 유포가 있었던 것으로 확인되고 있습니다.

 

RayDownload 프로그램 삭제 방법

해당 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 ① 제어판에 등록하지 않으며 ② 삭제 파일(C:\Program Files\RayDld\uninstall.exe)을 통해 프로그램 제거시 핵심 기능은 유지하도록 구성되어 있습니다.

 

그러므로 RayDownload 프로그램이 설치된 경우에는 다음과 같은 절차에 따라 제거하시기 바랍니다.

 

(a) "C:\Program Files\RayDld\uninstall.exe" 삭제 파일을 직접 실행하여 프로그램 제거를 진행하시기 바랍니다.

(b) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 다음과 같은 명령어를 순서대로 입력 및 실행하여 ihpmServer.exe 서비스 프로세스 종료 및 서비스 값을 자동 삭제하시기 바랍니다.

 

  • sc stop "ihpmServer"
  • sc delete "ihpmServer"

(c) 삭제되지 않은 "C:\Program Files\RayDld" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ihpmServer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8DD92279-9B04-4C6F-A862-EF3C24603804}
HKEY_LOCAL_MACHINE\SOFTWARE\RayDld
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ihpmServer

 

RayDownload 프로그램처럼 외형적으로 정상적인 기능을 제공하는 프로그램처럼 설치된 후 사용자가 프로그램을 삭제하여도 핵심 기능은 제거하지 않는 방식으로 지속적으로 동작하는 경우가 있으므로 주의하시기 바랍니다.

728x90
반응형