본문 바로가기

벌새::Analysis

광고창 생성 기능이 포함된 보물섬 다운로드 도우미(SpeedDownload - Bomul) 주의

728x90
반응형

국내에서 운영되는 보물섬 자료실에 등록된 소프트웨어 다운로드를 위해 필수적으로 설치를 요구하는 "보물섬 다운로드 도우미 - SpeedDown" 프로그램(SHA-1 : 6834a2e438213cbbc01638d62025111f4b9bb733 - Avira : TR/Agent.5867232)을 설치할 경우 인터넷 이용 중 광고창이 생성되는 부분에 대해 살펴보도록 하겠습니다.

 

 

참고로 보물섬 다운로드 도우미 프로그램은 과거에는 광고 기능이 아닌 추가적인 제휴 프로그램 설치를 유도하는 행위가 있었으므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown
C:\Users\%UserName%\AppData\Roaming\SpeedDown\except.txt
C:\Users\%UserName%\AppData\Roaming\SpeedDown\kw-except.txt
C:\Users\%UserName%\AppData\Roaming\SpeedDown\sddownload.dll
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddown.exe :: SpeedDown 프로그램 실행 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownch.exe
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsearchfilter.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsvc.exe :: 서비스(SDLRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownuninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownup.exe :: 시작 프로그램(SDStart) 등록 파일
C:\Users\%UserName%\AppData\Roaming\SpeedDown\XDownLoad.ini
C:\Users\%UserName%\Documents\SpeedDown 받은 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddown.exe
 - SHA-1 : f65db0f098950d0d1d0d63aeeb942691fa6618fd
 - Dr.Web : Trojan.Adkor.367

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownch.exe
 - SHA-1 : ee1eedc26ef9e999301d439216d964a2c6aaf55a
 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.C837496

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsearchfilter.exe
 - SHA-1 : dd02437fe08ca656091f1ac98d14b8308df962d3
 - Dr.Web : Trojan.Adkor.341

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsvc.exe
 - SHA-1 : 41efa5fc7f9d1542a7d212708c044b1b78821b3a
 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.C837479

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownup.exe
 - SHA-1 : b6bbc693b359e365fd1e03b5fe372eab3bf91b15
 - Avira : TR/Agent.944864

 

 

"DreamWiz Internet Co.,Ltd" 디지털 서명이 포함된 "SpeedDownload - Bomul" 프로그램은 "C:\Users\%UserName%\AppData\Roaming\SpeedDown" 폴더에 파일을 생성합니다.

 

 

"SDLRunS (표시 이름 : Speeddownload Services)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsvc.exe" 파일을 자동 실행하여 speeddownup.exe 파일 로딩을 한 후 메모리에 상주하도록 구성되어 있습니다.

 

또한 Windows 시작 시 SDStart 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownup.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 프로그램 업데이트 체크를 통해 "C:\Users\%UserName%\AppData\Roaming\SpeedDown\up" 폴더에 추가적인 파일 다운로드 및 패치가 다음과 같이 이루어질 수 있습니다.

 

생성 폴더 / 파일 등록 정보 (업데이트)

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown
C:\Users\%UserName%\AppData\Roaming\SpeedDown\except.txt
C:\Users\%UserName%\AppData\Roaming\SpeedDown\IEHistory.db3
C:\Users\%UserName%\AppData\Roaming\SpeedDown\kw-except.txt
C:\Users\%UserName%\AppData\Roaming\SpeedDown\NewNT.db3
C:\Users\%UserName%\AppData\Roaming\SpeedDown\OLDspeeddownsvc.exe
C:\Users\%UserName%\AppData\Roaming\SpeedDown\sddownload.dll
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddown.exe :: SpeedDown 프로그램 실행 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownch.exe
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownopen.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsearchfilter.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsvc.exe :: 서비스(SDLRunS) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownuninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownup.exe :: 시작 프로그램(SDStart) 등록 파일
C:\Users\%UserName%\AppData\Roaming\SpeedDown\TimeAd.db3
C:\Users\%UserName%\AppData\Roaming\SpeedDown\Title.db3
C:\Users\%UserName%\AppData\Roaming\SpeedDown\vd.dat
C:\Users\%UserName%\AppData\Roaming\SpeedDown\XDownLoad.ini
C:\Users\%UserName%\Documents\SpeedDown 받은 파일

 

생성 파일 진단 정보

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\OLDspeeddownsvc.exe
 - SHA-1 : 41efa5fc7f9d1542a7d212708c044b1b78821b3a
 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.C837479

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddown.exe
 - SHA-1 : 737173f8fdd103c43f2f474c4e3cc351df099d3a
 - Dr.Web : Trojan.Adkor.367

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownch.exe
 - SHA-1 : ee1eedc26ef9e999301d439216d964a2c6aaf55a
 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.C837496

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownopen.exe
 - SHA-1 : 053d1c3a05279c17424a4b55834b75dec5bacc4a
 - ESET : a variant of Win32/Adware.Kraddare.MB

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsearchfilter.exe
 - SHA-1 : dd02437fe08ca656091f1ac98d14b8308df962d3
 - Dr.Web : Trojan.Adkor.341

 

C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownsvc.exe
 - SHA-1 : 41efa5fc7f9d1542a7d212708c044b1b78821b3a
 - AhnLab V3 365 Clinic : PUP/Win32.KeyPang.C837479

 

 

"DreamWiz Internet Co.,Ltd / 주식회사 휴먼디지털웍스" 2종의 디지털 서명이 포함된 "SpeedDownload - Bomul" 프로그램은 "C:\Users\%UserName%\AppData\Roaming\SpeedDown" 폴더에 파일을 생성 및 패치합니다.

 

패치된 "SpeedDownload - Bomul" 프로그램은 "C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddown.exe" 파일 실행을 통해 작업 표시줄 알림 영역에 보물섬 SpeedDown 아이콘이 표시되며, 이를 통해 Internet Explorer 웹 브라우저에서 파일 다운로드를 시도할 경우 다음과 같은 "보물섬 다운로드 도우미 - SpeedDown 다운로더" 창이 생성됩니다.

 

 

참고로 현재의 SpeedDown 다운로더 프로그램은 다양한 광고로 수익을 내는 구조이지만 차후 언제든지 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

위와 같이 "보물섬 다운로드 도우미 - Speed" 프로그램은 인터넷 상에서 파일 다운로드 시 다운로더 창을 생성하여 광고를 노출하는 기본적인 기능만 제공하는 것으로 오해할 수 있으며, 최초 프로그램 설치 시 제공되는 이용약관에서는 다음과 같은 광고 행위에 대해서는 유추할 수 없도록 제시하고 있습니다.

 

 

패치된 "SpeedDownload - Bomul" 프로그램은 자동 실행된 "C:\Users\%UserName%\AppData\Roaming\SpeedDown\speeddownopen.exe" 파일을 통해 인터넷 검색 시 멀티 광고탭(open.speeddownload.kr) 생성을 통해 다양한 웹사이트로 연결이 이루어질 수 있습니다.

 

또한 인터넷 검색을 통해 웹사이트 접속 과정에서 자동으로 추가적인 광고창을 생성하는 광고 기능이 포함되어 있습니다.

 

"SpeedDownload - Bomul" 프로그램 제거 방법

 

(a) "명령 프롬프트(관리자)"를 실행하여 [sc stop "SDLRunS"] 명령어 입력 및 실행을 통해 메모리에 상주하는 speeddownsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) 작업 관리자를 실행하여 메모리에 상주하는 speeddown.exe / speeddownopen.exe / speeddownsearchfilter.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(c) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "SpeedDownload - Bomul" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 "C:\Users\%UserName%\Documents\SpeedDown" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

 

(d) 프로그램 제거 후에는 삭제되지 않은 "SDLRunS (서비스 이름 : Speeddownload Services)" 서비스를 추가적으로 삭제하기 위해 "명령 프롬프트(관리자)"를 실행하여 [sc delete "SDLRunS"] 명령어를 입력 및 실행하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer
 - DownloadUI = {A832F633-668F-4F8A-9EA1-A6375D1C1418}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SDStart = "c:\users\%UserName%\appdata\roaming\speeddown\speeddownup.exe"
HKEY_CURRENT_USER\Software\speeddown_bomul
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A832F633-668F-4F8A-9EA1-A6375D1C1418}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sddownload.CGFDownload
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedDownLoader
HKEY_LOCAL_MACHINE\SOFTWARE\speeddown_bomul
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SDLRunS

 

 

"보물섬 다운로드 도우미 - SpeedDown 다운로더" 프로그램은 단순히 파일 다운로드 기능 외에 사용자가 웹 브라우저를 이용한 인터넷 이용 시 원치않는 다수의 광고를 생성하여 불편을 유발하고 있으므로 사용자가 현명하게 프로그램 사용 여부를 결정하시기 바랍니다.

728x90
반응형