본문 바로가기

벌새::Analysis

K-Lite Codec Pack으로 위장한 국내 애드웨어 배포

해외에서 제작된 유명 통합 코덱 프로그램 K-Lite Codec Pack을 이용하여 국내에서 애드웨어를 배포하고 있는 것을 확인하였습니다.

위와 같이 인터넷 이용자들이 잘 검색하는 특정 검색어로 등록된 카페, 블로그와 같은 공개된 게시판에 접근을 유도하여 위와 같이 동영상을 볼 수 있는 것처럼 위장하여 해당 동영상을 보려면 특정 ActiveX에서 제공하는 코덱을 설치해야 하도록 구성되어 있습니다. 또는 ActiveX 방식을 병행하면서 동영상 화면을 클릭할 경우 K-Lite Codec Pack 설치 파일로 위장한 파일을 다운로드하도록 구성되어 있습니다.

실제 동영상 배포 사이트에서 제공하는 가짜 K-Lite Codec Pack (1번)과 진짜 제작사에서 배포하는 것과 비교를 해보면 배포 파일 형태가 다른 것을 아실 수 있습니다.

해당 글 작성을 위해서 ActiveX 설치 방식이 아닌 파일 설치 방식을 통해 어떤 것이 설치가 되는지 알아보도록 하겠습니다.

설치 첫 단계에서는 [자주 사용되는 코덱 모음 "K-Lite Codec pack(케이라이트 코덱팩)" v4.7.5 Basic] 버전이라고 소개하고 있습니다.

실제 현재 배포되는 정식 K-Lite Codec Pack의 최신버전과 동일하며 누군가 코덱 설치 화면을 변경한 것을 아실 수 있습니다.

파일에서 확인된 바로는 4월 17일 전후에 파일이 제작되어 배포가 진행 중인 것으로 추정됩니다.

다음 단계에서는 해당 코덱이 설치되는 경로를 표시하고 있으며, 누구나 해당 경로를 통해 일반적인 코덱을 정상적으로 설치하는 것을 믿게 만들고 있습니다.

설치가 완료된 상태에서 [프로그램 실행]에 체크가 되어 있는 것으로 보아, 일반적으로 해당 코덱의 환경설정과 관련된 내용을 출력할 것으로 추정하실 수 있습니다.

하지만 설치가 완료되었다는 다음 단계로 접근을 하면 K-Lite Codec Pack 설치 화면(이 화면은 실제 해당 코덱을 설치할 때의 첫 화면입니다.)이 등장합니다. 다음 단계 역시 이용약관 동의 화면이 나오는 것을 보아 이제부터 실제 해당 코덱팩이 설치되는 것입니다.

참고로 해당 코덱팩은 한국어를 지원하지 않기에 앞서의 설치 단계는 국내에서 누군가가 코덱팩이 설치되는 것으로 위장하는 설치 단계로 이해를 하시면 됩니다.

그렇다면 이전의 단계에서는 무슨 동작이 있었는지 살펴보겠습니다.(진짜 K-Lite Codec Pack 설치는 하지 않고 확인하도록 하겠습니다.)

생성 폴더, 파일 정보

[생성 파일 진단 상황]

C:\WINDOWS\system32\woopy.exe (AhnLab V3 : Win-Adware/Asdfware.544768)

해당 설치 파일에서는 K-Lite Codec Pack이 설치되기 전에 총 3종류의 애드웨어성 프로그램이 사용자의 동의없이 설치가 되었습니다.

[사용자의 동의없이 설치된 프로그램]

1. Batty (사이트 접근시 ActiveX 주의) - 적립금 프로그램, 배포자 : 하늘네트워크

2. IHBar : 출처를 알 수 없는 광고 사이드바 프로그램 추정

3. MicroCode : 키워드 도우미

위와 같은 프로그램이 설치됨으로 인하여 4개의 프로세스가 동작을 하는 것을 확인하실 수 있습니다.

생성 폴더를 보시면 실제 설치 초기 단계에서 제시하는 코덱이 설치될 폴더(C:\Program Files\K-Lite Codec Pack)에는 코덱이 설치되지 않고 설치 관련 파일만 하나가 생성될 뿐 그 사이에 사용자 몰래 다른 프로그램이 생성된 것을 보실 수 있습니다.

특히 마지막 단계에서 진짜 코덱팩을 설치하므로써 자신들의 존재를 더욱 숨기려고 하는 모습이 악의적으로 제작되었다는 것을 뒷받침합니다.

[시작 프로그램 등록]

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 - codecpack = "C:\Program Files\MicroCode\codecpack.exe"

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
 - Batty = "C:\Program Files\Batty\BattyUpdate.exe"
 - IHBar = "C:\Program Files\IHBar\InHold.exe"

[Service 항목 등록]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy



해당 프로그램의 설치에 대해 사용자가 제대로 인지를 하려면 Internet Explorer 웹 브라우저를 동작하면서 사용을 하던 중에 인지할 수 있지만, 어떤 프로그램인지 몇 개의 프로그램이 설치되었는지는 쉽게 확인하기 힘들어 보입니다.

또한 생성된 파일의 위치가 매우 지저분하게 설치되었기에 제거하기에도 불편한 것이 사실입니다.

3개의 프로그램은 기본적으로 제어판의 [Batty], [IHBar], [MicroCode] 삭제 항목을 이용하여 삭제를 하실 수 있습니다.

이 중에서도 MicroCode 프로그램을 삭제하려고 시도를 하면 현재 설치된 환경에서는 삭제 관련 파일을 제공하지 않고 삭제 관련 페이지로 이동을 시켜서 삭제 파일을 다운로드하여 삭제를 하도록 하는 수법을 사용하고 있습니다.

[수동 삭제 파일 정보]

C:\Program Files\IHBar
C:\Program Files\K-Lite Codec Pack (코덱 설치를 안한 경우)
C:\Program Files\MicroCode

C:\cpsover_info.txt
C:\InHold_Install41.exe

C:\WINDOWS\codepack_setup.exe
C:\WINDOWS\ExeSubSend.exe
C:\WINDOWS\smile.bmp

C:\WINDOWS\system32\selete.bat
C:\WINDOWS\system32\woopy.exe

[수동 삭제 레지스트리 정보]

HKEY_CURRENT_USER\software\BATTY

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy (ImagePath=C:\WINDOWS\system32\woopy.exe)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy (DisplayName=network woopy services svc)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\woopy
HKEY_LOCAL_MACHINE\software\woopy

HKEY_CURRENT_USER\software\InHoldBar

이 내용은 설치 파일 단위로 검토한 내용이므로 ActiveX 설치를 한 경우에는 달라질 수도 있습니다.

위와 같이 사용자의 동의를 구하지 않고 마치 유명 코덱팩을 설치하는 화면으로 위장을 하여 배포하는 방식은 분명 문제가 있으며, 사용자 입장에서는 마치 해당 동영상을 보기 위한 필수적인 설치 파일로 오해를 유도하는 사회공학적 배포 방식이므로 주의가 요구됩니다.
  • 희동이 2009.04.21 18:59 댓글주소 수정/삭제 댓글쓰기

    해당 프로그램을 안랩에 신고 해 주세요.

    Active X 프로그램을 파일로 변환 해 주는 프로그램은 없을까요?

    • 이미 보안업체에서 인지하고 있는 것 같습니다.

      보통 ActiveX 방식으로 동작하는게 inf / ocx 파일을 cab 압축으로 배포를 하고 ocx 파일이 특정 서버에서 파일을 다운로드 하는 방식 같습니다.

      그 외에도 바로 exe 파일을 다운로드하여 설치하는 방법 등도 있는 것 같은데, 보통 웹 상에서 배포하는 ActiveX 파일의 배포 경로를 확인해 보면 해당 소스에서 exe 파일 경로를 확인할 수 있습니다.

  • 비밀댓글입니다

  • ㅎㅎㅎ 개인적으로 코덱을 까는 영상은 절대 보지 않습니다. ^ ^
    기본으로 돌아가는 것만 보죠~ 우히~

  • 호그 2009.04.22 09:37 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사드립니다. 참조해서 PC를 치료하였네요 ^^

  • 좋은 정보 감사합니다..
    요즘 이유도 없이 PC에 애드웨어가 깔려서 죽을맛입니다.. ㅋㅋㅋ
    이런게 한 둘 이 아닐 것 같아요..

  • 코덱은 뭐가 맞는지 몰라서 일단 깔고 보게 되요. -_-;;;;;;;;;
    이래서 컴이 자꾸 에러가 나는 듯..... 잘 배웠습니다!

    • 통합 코덱은 유용하지만 설치시에는 반드시 제작사 홈페이지에서 다운로드하는 습관이 중요한 것 같습니다.

      특히 국내 통합코덱은 설치할 때 추가로 설치되는 부분이 있을 수 있으므로 잘 읽으면서 설치하는 습관이 필요합니다.

  • 소동사 2009.04.23 05:35 댓글주소 수정/삭제 댓글쓰기

    어쩌다 실수로 이놈이 깔리고 말았네요 상세한 정보 감사합니다 프로그램만 지우면 시작 프로그램까지 삭제 되는지 알았더만 그렇지 않네요 뭐 그다지 피해 본 것은 없지만 이런 프로그램이 내 컴퓨터에 깔려 다는 자체가 마음에 들지 않습니다 ㅠㅠ 다시한번 좋은 정보 감사합니다

  • 라이텍스 2009.04.23 10:55 댓글주소 수정/삭제 댓글쓰기

    windows\system32\woopypip.exe 파일도 woopy.exe와 같이 설치 되는 악성코드 인것 같습니다.
    woopy.exe 파일의 정보를 보면 woopypip.exe와 연동되어 있는것 같더군요.
    같이 삭제 하는것이 좋을것 같습니다.

  • 2009.04.27 09:03 댓글주소 수정/삭제 댓글쓰기

    이런... 오늘 영상 좀 볼려는데..
    뭐가 떠서.. 뭐지 깔아야하나.. 하고 눌렀다가...
    느낌이 이상해서 검색해 봤더니..
    역시나;; 좋은정보 감사합니다!

  • 히나 2009.04.27 22:26 댓글주소 수정/삭제 댓글쓰기

    네이버 동영상 보려다가..
    깔았는데도 동영상은 못보고
    검색할때 왼쪽에 뭔가생기고..
    오늘날짜로 이상한거 3개가 깔려있어서 찾아봤더니..
    이런것이군요..
    감사합니다 덕분에 좋은 참고가되었습니다^^

    • 상당히 노골적으로 배포가 된 것 같습니다.

      아마 보안제품에서 해당 부분에 대해 추가적인 진단이 이루어지고 있는 것으로 알고 있습니다.

  • 지현 2009.05.04 11:41 댓글주소 수정/삭제 댓글쓰기

    퍼갈게요 ^ㅡ^!

  • 레아 2009.05.15 13:22 댓글주소 수정/삭제 댓글쓰기

    어제부터 로그인하면 system32Wselete.bat 이 파일을 다른 응용프로그램에서 사용중..
    이라는 경고창이 뜨네요
    이게 모죠...검색하다 여길 오게됬어요 벌새님
    도움좀 요청드립니다 휴지통에 버려두 되는 파일인가요?

    • 안녕하세요.

      현재 해당 게시물에 작성한 애드웨어 종류가 일부 변종이 존재한 것 같습니다.

      해당 파일의 위치는 맞는 것으로 보이며, 해당 파일이 다른 프로그램이 사용 중이라서 삭제가 되지 않는다면 안전모드를 이용하여 삭제하시거나 Unlock과 같은 파일을 해제하는 프로그램을 이용하여 삭제를 하시기 바랍니다.

      그리고 부팅 후 그런 메시지가 자동 생성된다면 레지항목에 등록이 되어 있으리라 추정됩니다.

      레지스트리 편집기에서 해당 파일명으로 검색을 하여 등록된 부분을 삭제해 보시기 바랍니다.

  • 레아 2009.05.18 18:46 댓글주소 수정/삭제 댓글쓰기

    감사드립니다 벌새님~~~~~~~~~^^*

  • 남의것을 도용해서 비겁하게 돈벌어먹으려는 것들은 퇴출되어야 한다고 생각되는군요...
    NSIS도 아닌 Install Factory로 어설프게 만드는거 보면, 정말 엉성한거 같아 보입니다만
    저런데 당하는 사람도 있다는 사실이 좀 안타까울 뿐입니다

  • 한유정 2009.06.10 22:04 댓글주소 수정/삭제 댓글쓰기

    잘 보았습니다. 제 컴퓨터에는 IHBar 이게 설치되어있는데요, 프로그램 추가/제거에도 목록이 안나와있고, 홈페이지를 들어가 보니 질문도 못올리게 되어있더라구요. 제가 설치하지도 않았거든요 ㅠㅠ
    14살이라는 어린 나이에 이런 어려운(...?)글들을 보니까 머리가 마구 아프네요 ㅋㅋㅋ
    잘 보았구요, 즐겨찿기에 추가해 놓았는데 답글 부탁드려요. 감사드립니다^^

    • 안녕하세요.

      아마 다른 경로를 통해 설치가 되면서 사용자 몰래 설치를 한 것 같습니다.

      현재 IHBar의 경우 역시 보안제품에서 진단 및 치료를 제공하고 있으므로 V3 Lite와 같은 보안제품을 이용하여 정밀검사를 하여 진단되는 부분을 치료하시면 해결되리라 보여집니다.

  • 한유정 2009.06.17 17:55 댓글주소 수정/삭제 댓글쓰기

    감사합니다^0^ 항상 벌새님의 글은 도움이 정말 많이 돼요 ㅎㅎ

  • 칼칼 2009.07.09 18:08 댓글주소 수정/삭제 댓글쓰기

    바이러스 검사하는데 예전엔 없었던게 깔려있더군요

    옛날에 K-Lite Codec을 깔았었는대 짜증나게 삭제 안되서 Unlock으로 지웠는대

    혹시나해서 알약으로 검사해보니까

    트로이목마/해킹툴 란에

    cpsover.exe
    InHold_Install41.exe

    2개 뜨더군요.. 이 2개만 제거하면

    작성하신 글에서 수동으로 지우라는 파일은 안지워도 될까요?

    • 해당 악성코드의 설치 방식이 마지막 단계에서 코덱을 정상적으로 설치하는 것으로 알려져 있습니다.

      그러므로 국내 애드웨어 부분만 잘 치료하시면 됩니다.

      그리고 프로그램은 반드시 제작사 사이트나 공개 자료실을 이용하세요. 게시판이나 블로그의 파일은 어떤 변형이 있을 수 있습니다.

      인터넷 습관이 보안에서 참 중요합니다.

  • 음, 저는 항상 프로그램 추가/제거를 살펴봐서 형누나에 의해 바이러스가 깔렸을까 해서, 의심스러운 건 네이버에 검사하는 편인데 님은... 천재군요!!! 우왕키구잉!!

    (잠깐...



    검사해야겠군.. ㄷㄷㄷ)

    • 그래서 파일은 유명 공개 자료실이나 되도록이면 해당 프로그램 제작 사이트에서 받는 것이 그나마 안전합니다.

      물론 더 중요한 것은 설치 과정에 추가적으로 무엇이 설치되는지 잘 확인할 필요가 있겠죠.

  • 비밀댓글입니다

    • http://codecguide.com/download_kl.htm

      여기가 정식 홈 페이지로 기억하고 있습니다.

      N드라이브를 통해 동영상을 감상해 본 적이 없어서 확인이 어렵습니다. 죄송합니다.