반응형
출처가 불확실한 툴바 프로그램인 [홍길동 보안 툴바]에 대해 살펴보도록 하겠습니다.
해당 웹 사이트에 접속을 하면 접속자의 아이피(IP)가 자동으로 출력이 되면서 마치 보안상 문제가 있다는 듯 경고(Warning!)를 하고 있습니다. 또한 현재 툴바 사용자 수가 21만명으로 표시가 되는 등 신뢰할 수 있고 많은 사용자가 사용하고 있다는 것을 간접적으로 홍보를 하고 있습니다.
해당 제작사 도메인을 조회해보면 국내가 아닌 중국에서 등록된 해외 서비스업체로 나오고 있습니다.
실제 프로그램이 어떤 방식으로 구성되어 있고 문제가 없는지 살펴보도록 하겠습니다.
설치 과정 중에 제공되는 이용약관을 살펴보면 해당 제품은 다음과 같이 설명하고 있습니다.
서비스 업체명, 서비스 명칭, 적립 프로그램을 위한 툴바로 프로그램을 소개하고 있습니다. 하지만 실제 업체나 서비스를 검색해 보면 관련 정보를 찾을 수 없으며 실제 제품을 설치해 보면 그 진위를 확인할 수 있습니다.
해당 툴바는 보안 제품에서 애드웨어, 유해 가능 프로그램으로 진단하고 있는 것을 확인할 수 있습니다.
IE를 실행하면 홍길동 툴바가 BHO 방식으로 삽입된 것을 확인할 수 있습니다. 또한 보시는 것과 같이 적립금을 위한 툴바로는 보이지 않으며, 프록시 서버 동작을 위한 옵션이 있는 것을 확인할 수 있습니다.
즉, 초기 설치시에 제공하는 이용약관에서 밝힌 부분은 거짓 정보를 담고 있다고 볼 수 있습니다.
툴바에서 제공하는 검색 기능을 동작시 기본값이 이지서치로 잡혀 있으며, 국내 유명 포털 사이트는 검색에서 선택하도록 되어 있습니다.
프록시 기능을 이용하여 검색을 시도할 경우 위와 같이 특정 프록시 서버 이용을 위해 회원 가입을 유도하고 있습니다.
실제 회원 가입 페이지에서 제공하는 이용약관 및 개인정보보호 관련 약관은 초기 제품 설치시에 제공하는 것과 동일한 것으로 거짓으로 위장된 형식적인 것으로 구성되어 있습니다.
해당 툴바의 삭제는 제어판의 프로그램 추가/제거 목록 [홍길동 보안 툴바 V1.01] 항목이 있지만, 실제 삭제를 시도하면 전혀 프로그램이 삭제가 되지 않고 있습니다.
그러므로 삭제는 반드시 현재 진단되는 보안 제품을 이용하시거나 수동으로 모든 삭제를 해 주셔야 합니다.
삭제할 폴더 및 파일 정보는 설치 정보를 확인하시고 삭제시에는 안전모드 또는 모든 프로그램을 종료한 상태에서 시도하시기 바랍니다.
일부 사용자 중에 국내에서 차단한 사이트에 접근하기 위해 위와 같은 프록시 관련 프로그램을 이용할 경우에는 그만큼 보안상 위험이 따를 수 있다는 점을 명심하시고 되도록이면 안전한 인터넷 생활을 하시기 바랍니다.
또한 이 경우처럼 마치 국내에서 서비스하는 것으로 위장하고 실제로는 중국에서 악의적인 목적으로 제작하여 정상적인 프로그램인 것처럼 배포하는 경우가 존재할 수 있다는 점도 상기할 점이 아닌가 생각됩니다.
제작사 메인 화면
해당 웹 사이트에 접속을 하면 접속자의 아이피(IP)가 자동으로 출력이 되면서 마치 보안상 문제가 있다는 듯 경고(Warning!)를 하고 있습니다. 또한 현재 툴바 사용자 수가 21만명으로 표시가 되는 등 신뢰할 수 있고 많은 사용자가 사용하고 있다는 것을 간접적으로 홍보를 하고 있습니다.
제작사 도메인 정보
해당 제작사 도메인을 조회해보면 국내가 아닌 중국에서 등록된 해외 서비스업체로 나오고 있습니다.
실제 프로그램이 어떤 방식으로 구성되어 있고 문제가 없는지 살펴보도록 하겠습니다.
설치 과정 중에 제공되는 이용약관을 살펴보면 해당 제품은 다음과 같이 설명하고 있습니다.
[홍길동 보안 툴바 이용약관]
1. 이 이용약관(이하 '약관'이라 합니다)은 엔터(이하 '회사'라 합니다)과 이용 고객(이하 '이용자'라 합니다)간에 회사가 제공하는 파르유 서비스(이하 '파르유' 또는 '서비스'라 합니다)의 가입조건 및 이용에 관한 제반 사항과 기타 필요한 사항을 구체적으로 규정함을 목적으로 합니다.
2. 파르유 서비스는 파르유 소프트웨어(이하 '소프트웨어'라 합니다)를 설치해야 이용하실 수 있으며, 이용자는 서비스 홈페이지에서 소프트웨어를 무상으로 설치하실 수 있습니다. 파르유 서비스와 소프트웨어에 대한 개발과 운영 및 이에 따른 책임과 권한은 회사에 있습니다.
- '쇼핑적립 서비스'란 이용자가 쇼핑적립 제휴몰에서 상품 또는 서비스를 온라인으로 구매할 경우 제휴몰의 적립금과는 별도로 구매 금액의 일부를 파르유 적립금으로 추가 적립해 주는 리워드 서비스를 말합니다.
- '자동적립'이란 이용자가 구매할 때마다 파르유 서비스 사이트에 매번 접속하여 로그인할 필요없이 제휴몰로 바로 접속하여 구매하더라도 쇼핑적립금이 적립되는 서비스를 말합니다.
- '쇼핑적립 제휴몰'(이하 '제휴몰'이라 합니다)이란 구매 시 쇼핑적립 서비스가 제공되는 온라인 쇼핑몰 또는 서비스 업체를 말합니다.
1. 이 이용약관(이하 '약관'이라 합니다)은 엔터(이하 '회사'라 합니다)과 이용 고객(이하 '이용자'라 합니다)간에 회사가 제공하는 파르유 서비스(이하 '파르유' 또는 '서비스'라 합니다)의 가입조건 및 이용에 관한 제반 사항과 기타 필요한 사항을 구체적으로 규정함을 목적으로 합니다.
2. 파르유 서비스는 파르유 소프트웨어(이하 '소프트웨어'라 합니다)를 설치해야 이용하실 수 있으며, 이용자는 서비스 홈페이지에서 소프트웨어를 무상으로 설치하실 수 있습니다. 파르유 서비스와 소프트웨어에 대한 개발과 운영 및 이에 따른 책임과 권한은 회사에 있습니다.
- '쇼핑적립 서비스'란 이용자가 쇼핑적립 제휴몰에서 상품 또는 서비스를 온라인으로 구매할 경우 제휴몰의 적립금과는 별도로 구매 금액의 일부를 파르유 적립금으로 추가 적립해 주는 리워드 서비스를 말합니다.
- '자동적립'이란 이용자가 구매할 때마다 파르유 서비스 사이트에 매번 접속하여 로그인할 필요없이 제휴몰로 바로 접속하여 구매하더라도 쇼핑적립금이 적립되는 서비스를 말합니다.
- '쇼핑적립 제휴몰'(이하 '제휴몰'이라 합니다)이란 구매 시 쇼핑적립 서비스가 제공되는 온라인 쇼핑몰 또는 서비스 업체를 말합니다.
서비스 업체명, 서비스 명칭, 적립 프로그램을 위한 툴바로 프로그램을 소개하고 있습니다. 하지만 실제 업체나 서비스를 검색해 보면 관련 정보를 찾을 수 없으며 실제 제품을 설치해 보면 그 진위를 확인할 수 있습니다.
홍길동 툴바 생성 폴더와 파일 정보
[안철수연구소 V3 365 진단 내용]
%system%KB82478635787.dll - (V3) Win-AppCare/Downloader.241664 (SpyZero) Win-Adware/AupaRun.241664
%system%KB82478635787.dll - (V3) Win-AppCare/Downloader.241664 (SpyZero) Win-Adware/AupaRun.241664
해당 툴바는 보안 제품에서 애드웨어, 유해 가능 프로그램으로 진단하고 있는 것을 확인할 수 있습니다.
IE를 실행하면 홍길동 툴바가 BHO 방식으로 삽입된 것을 확인할 수 있습니다. 또한 보시는 것과 같이 적립금을 위한 툴바로는 보이지 않으며, 프록시 서버 동작을 위한 옵션이 있는 것을 확인할 수 있습니다.
즉, 초기 설치시에 제공하는 이용약관에서 밝힌 부분은 거짓 정보를 담고 있다고 볼 수 있습니다.
툴바에서 제공하는 검색 기능을 동작시 기본값이 이지서치로 잡혀 있으며, 국내 유명 포털 사이트는 검색에서 선택하도록 되어 있습니다.
프록시 기능을 이용하여 검색을 시도할 경우 위와 같이 특정 프록시 서버 이용을 위해 회원 가입을 유도하고 있습니다.
실제 회원 가입 페이지에서 제공하는 이용약관 및 개인정보보호 관련 약관은 초기 제품 설치시에 제공하는 것과 동일한 것으로 거짓으로 위장된 형식적인 것으로 구성되어 있습니다.
[BHO 등록]
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe}
- HONGKILDONG V1.01 = c:\windows\system32\hongkildong.dll
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}
- hongkildonguObj Class = c:\windows\system32\hongkildongu.dll
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6cf6c65a-b401-4e38-a9a3-291f7f538e71}
- KB82478635797Obj Class = c:\windows\system32\kb82478635797.dll
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe}
- HONGKILDONG V1.01 = c:\windows\system32\hongkildong.dll
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}
- hongkildonguObj Class = c:\windows\system32\hongkildongu.dll
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6cf6c65a-b401-4e38-a9a3-291f7f538e71}
- KB82478635797Obj Class = c:\windows\system32\kb82478635797.dll
[Toolbar 등록]
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Toolbar
- {ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} = 홍길동 보 (c:\windows\system32\hongkildong.dll)
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Toolbar
- {ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} = 홍길동 보 (c:\windows\system32\hongkildong.dll)
해당 툴바의 삭제는 제어판의 프로그램 추가/제거 목록 [홍길동 보안 툴바 V1.01] 항목이 있지만, 실제 삭제를 시도하면 전혀 프로그램이 삭제가 되지 않고 있습니다.
그러므로 삭제는 반드시 현재 진단되는 보안 제품을 이용하시거나 수동으로 모든 삭제를 해 주셔야 합니다.
삭제할 폴더 및 파일 정보는 설치 정보를 확인하시고 삭제시에는 안전모드 또는 모든 프로그램을 종료한 상태에서 시도하시기 바랍니다.
[수동 삭제 레지스트리 정보]
HKEY_CURRENT_USER\software\hongkildong
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.xml)
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.bmp)
HKEY_CURRENT_USER\software\hongkildongu
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections (ConnectionHongkildong)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll=rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\hongkildong.dll")
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B} (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\ProgID (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\VersionIndependentProgID (Default=Hongkildongu.hongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056} (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056}\ProgID (Default=HONGKILDOG.HongkildongCtrl.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E58145BE-90CF-48EB-B20A-8F48CCF9E8CF} (Default=Hongkildong Property Page)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\HONGKILDONG.HongkildongCtrl.1 (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj\CurVer (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj.1 (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj.1 (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{3582AE24-CAA6-45BC-BD34-293FA401B89F} (Default=_DHongkildong)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{B1350C5C-DBB8-4664-AB96-55E600562A1F} (Default=IhongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{C94BB13C-D08B-4515-9D8C-6428E645987F} (Default=_DHongkildongEvents)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0 (Default=hongkildongu 1.0 Type Library)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0\0\win32 (Default=C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{52112DAB-0716-44D5-B92E-A9B729EB0A6A}\1.0\0\win32 (Default=C:\WINDOWS\system32\KB82478635797.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{966A2559-28B2-44ED-A0B4-C20EA6C38829}\1.0 (Default=hongkildong ActiveX Control module)
HKEY_LOCAL_MACHINE\software\hongkildong
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.ocx)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.dll)
HKEY_CURRENT_USER\software\hongkildong
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.xml)
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.bmp)
HKEY_CURRENT_USER\software\hongkildongu
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections (ConnectionHongkildong)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll=rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\hongkildong.dll")
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B} (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\ProgID (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\VersionIndependentProgID (Default=Hongkildongu.hongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056} (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056}\ProgID (Default=HONGKILDOG.HongkildongCtrl.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E58145BE-90CF-48EB-B20A-8F48CCF9E8CF} (Default=Hongkildong Property Page)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\HONGKILDONG.HongkildongCtrl.1 (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj\CurVer (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj.1 (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj.1 (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{3582AE24-CAA6-45BC-BD34-293FA401B89F} (Default=_DHongkildong)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{B1350C5C-DBB8-4664-AB96-55E600562A1F} (Default=IhongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{C94BB13C-D08B-4515-9D8C-6428E645987F} (Default=_DHongkildongEvents)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0 (Default=hongkildongu 1.0 Type Library)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0\0\win32 (Default=C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{52112DAB-0716-44D5-B92E-A9B729EB0A6A}\1.0\0\win32 (Default=C:\WINDOWS\system32\KB82478635797.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{966A2559-28B2-44ED-A0B4-C20EA6C38829}\1.0 (Default=hongkildong ActiveX Control module)
HKEY_LOCAL_MACHINE\software\hongkildong
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.ocx)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.dll)
일부 사용자 중에 국내에서 차단한 사이트에 접근하기 위해 위와 같은 프록시 관련 프로그램을 이용할 경우에는 그만큼 보안상 위험이 따를 수 있다는 점을 명심하시고 되도록이면 안전한 인터넷 생활을 하시기 바랍니다.
또한 이 경우처럼 마치 국내에서 서비스하는 것으로 위장하고 실제로는 중국에서 악의적인 목적으로 제작하여 정상적인 프로그램인 것처럼 배포하는 경우가 존재할 수 있다는 점도 상기할 점이 아닌가 생각됩니다.
728x90
반응형