본문 바로가기

벌새::Analysis

홍길동 보안 툴바

출처가 불확실한 툴바 프로그램인 [홍길동 보안 툴바]에 대해 살펴보도록 하겠습니다.

제작사 메인 화면


해당 웹 사이트에 접속을 하면 접속자의 아이피(IP)가 자동으로 출력이 되면서 마치 보안상 문제가 있다는 듯 경고(Warning!)를 하고 있습니다. 또한 현재 툴바 사용자 수가 21만명으로 표시가 되는 등 신뢰할 수 있고 많은 사용자가 사용하고 있다는 것을 간접적으로 홍보를 하고 있습니다.

제작사 도메인 정보


해당 제작사 도메인을 조회해보면 국내가 아닌 중국에서 등록된 해외 서비스업체로 나오고 있습니다.

실제 프로그램이 어떤 방식으로 구성되어 있고 문제가 없는지 살펴보도록 하겠습니다.


설치 과정 중에 제공되는 이용약관을 살펴보면 해당 제품은 다음과 같이 설명하고 있습니다.

[홍길동 보안 툴바 이용약관]

1. 이 이용약관(이하 '약관'이라 합니다)은 엔터(이하 '회사'라 합니다)과 이용 고객(이하 '이용자'라 합니다)간에 회사가 제공하는 파르유 서비스(이하 '파르유' 또는 '서비스'라 합니다)의 가입조건 및 이용에 관한 제반 사항과 기타 필요한 사항을 구체적으로 규정함을 목적으로 합니다.
2. 파르유 서비스는 파르유 소프트웨어(이하 '소프트웨어'라 합니다)를 설치해야 이용하실 수 있으며, 이용자는 서비스 홈페이지에서 소프트웨어를 무상으로 설치하실 수 있습니다. 파르유 서비스와 소프트웨어에 대한 개발과 운영 및 이에 따른 책임과 권한은 회사에 있습니다.

- '쇼핑적립 서비스'란 이용자가 쇼핑적립 제휴몰에서 상품 또는 서비스를 온라인으로 구매할 경우 제휴몰의 적립금과는 별도로 구매 금액의 일부를 파르유 적립금으로 추가 적립해 주는 리워드 서비스를 말합니다.
- '자동적립'이란 이용자가 구매할 때마다 파르유 서비스 사이트에 매번 접속하여 로그인할 필요없이 제휴몰로 바로 접속하여 구매하더라도 쇼핑적립금이 적립되는 서비스를 말합니다.
- '쇼핑적립 제휴몰'(이하 '제휴몰'이라 합니다)이란 구매 시 쇼핑적립 서비스가 제공되는 온라인 쇼핑몰 또는 서비스 업체를 말합니다.

서비스 업체명, 서비스 명칭, 적립 프로그램을 위한 툴바로 프로그램을 소개하고 있습니다. 하지만 실제 업체나 서비스를 검색해 보면 관련 정보를 찾을 수 없으며 실제 제품을 설치해 보면 그 진위를 확인할 수 있습니다.

홍길동 툴바 생성 폴더와 파일 정보


[안철수연구소 V3 365 진단 내용]

%system%KB82478635787.dll - (V3)  Win-AppCare/Downloader.241664 (SpyZero) Win-Adware/AupaRun.241664 

해당 툴바는 보안 제품에서 애드웨어, 유해 가능 프로그램으로 진단하고 있는 것을 확인할 수 있습니다.


IE를 실행하면 홍길동 툴바가 BHO 방식으로 삽입된 것을 확인할 수 있습니다. 또한 보시는 것과 같이 적립금을 위한 툴바로는 보이지 않으며, 프록시 서버 동작을 위한 옵션이 있는 것을 확인할 수 있습니다.

즉, 초기 설치시에 제공하는 이용약관에서 밝힌 부분은 거짓 정보를 담고 있다고 볼 수 있습니다.


툴바에서 제공하는 검색 기능을 동작시 기본값이 이지서치로 잡혀 있으며, 국내 유명 포털 사이트는 검색에서 선택하도록 되어 있습니다.


프록시 기능을 이용하여 검색을 시도할 경우 위와 같이 특정 프록시 서버 이용을 위해 회원 가입을 유도하고 있습니다.

실제 회원 가입 페이지에서 제공하는 이용약관 및 개인정보보호 관련 약관은 초기 제품 설치시에 제공하는 것과 동일한 것으로 거짓으로 위장된 형식적인 것으로 구성되어 있습니다.


[BHO 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe}
 - HONGKILDONG V1.01 = c:\windows\system32\hongkildong.dll

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}
 - hongkildonguObj Class = c:\windows\system32\hongkildongu.dll

 HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6cf6c65a-b401-4e38-a9a3-291f7f538e71}
 - KB82478635797Obj Class = c:\windows\system32\kb82478635797.dll


[Toolbar 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\Toolbar
 - {ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} = 홍길동 보 (c:\windows\system32\hongkildong.dll)


해당 툴바의 삭제는 제어판의 프로그램 추가/제거 목록 [홍길동 보안 툴바 V1.01] 항목이 있지만, 실제 삭제를 시도하면 전혀 프로그램이 삭제가 되지 않고 있습니다.

그러므로 삭제는 반드시 현재 진단되는 보안 제품을 이용하시거나 수동으로 모든 삭제를 해 주셔야 합니다.

삭제할 폴더 및 파일 정보는 설치 정보를 확인하시고 삭제시에는 안전모드 또는 모든 프로그램을 종료한 상태에서 시도하시기 바랍니다.

[수동 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\hongkildong
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.xml)
HKEY_CURRENT_USER\software\hongkildong\toolbar (hongkildong.bmp)
HKEY_CURRENT_USER\software\hongkildongu
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections (ConnectionHongkildong)
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce (Delete_hongkildong.dll=rundll32.exe advpack.dll,DelNodeRunDLL32 "C:\WINDOWS\system32\hongkildong.dll")
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B} (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\ProgID (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{079E3ED4-BC24-4E0F-8AA7-E45CFB9C881B}\VersionIndependentProgID (Default=Hongkildongu.hongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056} (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{21F20D61-D921-4BCF-9365-5E60C206E056}\ProgID (Default=HONGKILDOG.HongkildongCtrl.1)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{E58145BE-90CF-48EB-B20A-8F48CCF9E8CF} (Default=Hongkildong Property Page)
HKEY_LOCAL_MACHINE\software\Classes\clsid\{ecf94cc0-8f33-4c1b-afc5-ed9537b7ffbe} (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\HONGKILDONG.HongkildongCtrl.1 (Default=Hongkildong Control)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj\CurVer (Default=Hongkildongu.hongkildonguObj.1)
HKEY_LOCAL_MACHINE\software\Classes\Hongkildongu.hongkildonguObj.1 (Default=hongkildonguObj Class)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\hongkildong.PugiObj.1 (Default=HONGKILDONG V1.01)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{3582AE24-CAA6-45BC-BD34-293FA401B89F} (Default=_DHongkildong)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{B1350C5C-DBB8-4664-AB96-55E600562A1F} (Default=IhongkildonguObj)
HKEY_LOCAL_MACHINE\software\Classes\Interface\{C94BB13C-D08B-4515-9D8C-6428E645987F} (Default=_DHongkildongEvents)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0 (Default=hongkildongu 1.0 Type Library)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{02968EBC-4D72-42D7-B128-167E8EEB20C5}\1.0\0\win32 (Default=C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{52112DAB-0716-44D5-B92E-A9B729EB0A6A}\1.0\0\win32 (Default=C:\WINDOWS\system32\KB82478635797.dll)
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{966A2559-28B2-44ED-A0B4-C20EA6C38829}\1.0 (Default=hongkildong ActiveX Control module)
HKEY_LOCAL_MACHINE\software\hongkildong
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildongu.dll)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.ocx)
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\SharedDLLs (C:\WINDOWS\system32\hongkildong.dll)

일부 사용자 중에 국내에서 차단한 사이트에 접근하기 위해 위와 같은 프록시 관련 프로그램을 이용할 경우에는 그만큼 보안상 위험이 따를 수 있다는 점을 명심하시고 되도록이면 안전한 인터넷 생활을 하시기 바랍니다.

또한 이 경우처럼 마치 국내에서 서비스하는 것으로 위장하고 실제로는 중국에서 악의적인 목적으로 제작하여 정상적인 프로그램인 것처럼 배포하는 경우가 존재할 수 있다는 점도 상기할 점이 아닌가 생각됩니다.
  • 헐... 이름은 홍길동인데...
    참 어이없는 툴바군요...
    홍길동 툴바는 어디서 찾을 수 있나요?

  • 하여간 신뢰되지 않은 것을 사용을 자제 해야겠습니다..잘 보았습니다.

  • 으잉.. 홍씨 가문 이름에 먹칠을..

  • 비밀댓글입니다

    • 저 툴바를 말씀하시는건가요?

      어떤 툴바인지 모르지만 스파이제로에서 진단되면 V3 2007 또는 365 버전에서도 진단이 됩니다.

      단지 2004버전은 안됩니다.

      V3를 이용하여 시스템 전체검사를 해보시기 바랍니다.

  • 키리에 2009.02.28 00:28 댓글주소 수정/삭제 댓글쓰기

    위의 툴바 맞습니다..

    *스파이 제로에서 진단되고 v3 365로는 시스템 전체 정밀 검사로도 진단이 안됩니다.

    *수동으로 삭제하려다가 그만HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Runonce 전체를 삭제하였습니다. 괜찮을런지요.
    (OS가 윈도우 XP 미디어 센터 에디션인데 보조 프로그램에 있는 시스템 복원을 시도해보아도 복원이 안됩니다.)

    *아래 레지스트리 정보도 어디까지 삭제해야할지 몰라 일단 괄호안의 정보만 삭제했는데 툴바는 여전합니다.

    번거러우시더라도 상세한 답변 꼭 좀 부탁드립니다.

    • 진단 안되는 부분에 대해서는 안철수연구소에 문의해 보시기 바랍니다.

      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce 레지스트리는 반드시 존재해야 합니다.

      저의 경우 해당 항목에 추가된 항목은 존재하지 않습니다.

      그러므로 레지스트리 편집기에서 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion에 마우스를 두고, [편집 - 새로 만들기 - 키]를 클릭하여 생성된 키 항목에 [Runonce]를 입력하여 만들어두시기 바랍니다.

  • 비밀댓글입니다

  • 해외유저 2009.07.11 17:51 댓글주소 수정/삭제 댓글쓰기

    해유저인데 이걸로 해외ip접속차단한걸 접속할때 이용한적있습니다 속도는 무지빨라서 자주 사용했는데..
    개인정보를 뺴가나요...
    분명 ID랑 패스워드랑 E-mail만 입력하는데....

    E-mail< asdfa@naver.com 이런씩으로하고
    아뒤는 패스워드는 아주 심플하게 1234 로 쓰고있습니다.

    개인정보 이걸로도 뺴갈수있는건가요?

    그리고 검색하면 걸린다고하는데...치료하면 고쳐진건가요??
    써두 문제 업는건가...

  • 해외유저 2009.07.11 19:00 댓글주소 수정/삭제 댓글쓰기

    실시간으로 답변해주시니 감사합니다.
    지금 저 프로그램 유포 싸이트(http://proxykorea.com/)에서
    언인스톨 프로그램을 유포하였는데..

    http://proxykorea.com/program/uninstall.exe <<한번 검사해주실수있나 싶어 여쭙니다.

    중국싸이트라고하여 걱정이 뭉실뭉실 피어오르네요
    그래서 사업자 등록 번호 : 607-15-79409 로 검색했더니 싸이트가 한개 더있더군요...사업자 등록번호로 2개의 싸이트를 운영이 가능한것인가요? 사기일려나??

    • 해당 파일은 툴바를 삭제하는 정상적인 파일로 보입니다.

      단지 해당 서비스업체가 운영하는 타 사이트의 경우에도 배포하는 파일이 보안업체의 진단 기준에 부합되는 부분이 있었던 것으로 알고 있습니다.

      되도록이면 이용하지 마세요.

  • 해외유저 2009.07.11 19:06 댓글주소 수정/삭제 댓글쓰기

    네 도움 감사합니다.