카카오툴즈라는 회사(?)에서 배포하는 프로그램 카카오인코더라는 프로그램이 있는데요. 이 프로그램은 다음 카카오와는 전혀 무관한 업체입니다.
사업자 등록을 하고 운영하는 업체인지 개인개발자인지는 모르겠으나 악성 프로그램에 가까운 카카오인코더(CacaoEncoder) 프로그램에 대해서 자세히 알아보겠습니다.
예전에도 이 프로그램의 다른 스폰서 프로그램에 대해서 글을 작성한 적이 있는데 이 프로그램을 설치하게 되면 어떤 스폰서 프로그램이 설치되는지 살펴보겠습니다. (말이 스폰서 프로그램이지 악성코드나 다름없음)
테스트에 사용된 설치 프로그램 파일 상세정보
미디어x릭은 삐 처리 하였습니다. 이런 게시글은 블러 처리가 될 가능성이 높거든요.
미디어x릭은 이쪽으로(?)유명한 프로그램입니다.
파일이름 : cacaoencoder_setup.exe
파일해시 MD5 : c51af0d05c5d649954dec1ee3acb870f
디지털 서명 : CN=미디어x릭, OU=Dev. Team, O=미디어x릭, L=Gangnam-gu, S=SEOUL, C=KR
파일해시 CRC32 : 3dbb4fb7
파일 사이즈 : 19,458,736 Bytes
이 프로그램을 설치하면 우선 본 프로그램하고 세개의 스폰서 프로그램이 추가로 설치됩니다.
CacaoEncoder 삭제
DownTube v1.7
MiBigData solution matchpop Report Platform
Swiftdatainfo Version 1.0
다운튜브(DownTube)는 유튜브 다운로더 프로그램이고, 아래 두개는 팝업광고 프로그램입니다. 유튜브 다운로더 프로그램도 시작 프로그램에 등록되어 있어서 이 프로그램도 차후에 어떤 작업을 할지 모르는 수상한 프로그램입니다.
제어판 - 프로그램 추가/제거에 등록된 목록
프로그램 삭제는 더블클릭해서 삭제하면 됩니다.
레지스트리 상세정보
표시이름 : CacaoEncoder 삭제
프로그램 삭제 정보 : C:\Program Files\CacaoEncoder\\Uninstall.exe
레지스트리 키 : CacaoEncoder
표시이름 : DownTube v1.7
프로그램 버전 : 1.7
제품지원 홈페이지 : https://www.downtube.org/
설치 폴더 : C:\ProgramData\DownTubeFolder\
제작사 : DownTube
프로그램 삭제 정보 : C:\ProgramData\DownTubeFolder\uninstall.exe
레지스트리 키 : DownTube
표시이름 : MiBigData solution matchpop Report Platform
프로그램 버전 : 2.16.1.8
프로그램 수정 경로 :
제작사 : JK TheJMedia Corporation
프로그램 삭제 정보 : C:\Users\Administrator\AppData\Roaming\MatchPop\common\bin\RmMatchPop.exe
레지스트리 키 : MatchPop
표시이름 : Swiftdatainfo Version 1.0
프로그램 버전 : 1001
설치 폴더 : C:\Users\Administrator\AppData\Roaming\SwiftDataInfo
제작사 : Swift Data, Inc.
프로그램 삭제 정보 : C:\Users\Administrator\AppData\Roaming\SwiftDataInfo\swiftdataun.exe
레지스트리 키 : SwiftData
각 프로그램 폴더에 생성되는 파일 상세정보 (일부 API 파일 및 dll 파일 제외)
C:\Program Files\CacaoEncoder\cacaoencoder.exe
C:\Program Files\CacaoEncoder\cacaoencoder.ini
C:\Program Files\CacaoEncoder\common_avi.ini
C:\Program Files\CacaoEncoder\flvtool2.exe
C:\Program Files\CacaoEncoder\logo.png
C:\Program Files\CacaoEncoder\mencoder.exe
C:\Program Files\CacaoEncoder\mp4creator.exe
C:\Program Files\CacaoEncoder\mplayer\config
C:\Program Files\CacaoEncoder\mplayer\subfont.ttf
C:\Program Files\CacaoEncoder\swf2video.exe
C:\Program Files\CacaoEncoder\swfcombine.exe
C:\Program Files\CacaoEncoder\swfdump.exe
C:\Program Files\CacaoEncoder\swfextract.exe
C:\Program Files\CacaoEncoder\Uninstall.exe
C:\ProgramData\DownTubeFolder\ChromeCookiesView.exe
C:\ProgramData\DownTubeFolder\downtube.exe
C:\ProgramData\DownTubeFolder\phantomjs.exe
C:\ProgramData\DownTubeFolder\uninstall.exe
C:\Users\Administrator\AppData\Roaming\matchpop\common\bin\matchpop.exe
C:\Users\Administrator\AppData\Roaming\matchpop\common\bin\mpsch.exe
C:\Users\Administrator\AppData\Roaming\matchpop\common\bin\rmmatchpop.exe
C:\Users\Administrator\AppData\Roaming\SwiftDataInfo\swiftdata.exe
C:\Users\Administrator\AppData\Roaming\SwiftDataInfo\swiftdatas.exe
C:\Users\Administrator\AppData\Roaming\SwiftDataInfo\swiftdataun.exe
실행프로그램의 디지털 서명 상세정보
cacaoencoder.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
downtube.exe / MediaClick Co.,Ltd , Seoul , Sectigo Public Code Signing CA R36 , Sectigo Limited
flvtool2.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
matchpop.exe / jncmarketing Co. , Ltd , Dongjak-gu , Seoul , 108-86-02102 , Private Organization , DigiCert EV Code Signing CA (SHA2) , digicert.com , DigiCert Inc
mencoder.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
mp4creator.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
mplayer.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
mpsch.exe / jncmarketing Co. , Ltd , Dongjak-gu , Seoul , 108-86-02102 , Private Organization , DigiCert EV Code Signing CA (SHA2) , digicert.com , DigiCert Inc
rmmatchpop.exe / jncmarketing Co. , Ltd , Dongjak-gu , Seoul , 108-86-02102 , Private Organization , DigiCert EV Code Signing CA (SHA2) , digicert.com , DigiCert Inc
swf2video.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
swfcombine.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
swfextract.exe / 미디어x릭 , Dev. Team , Gangnam-gu , SEOUL , Thawte Code Signing CA - G2 , Thawte , Inc.
swiftdata.exe / Build Corp , Gangnam-gu , Seoul , 110111-6670164 , Private Organization , Symantec Class 3 Extended Validation Code Signing CA - G2 , Symantec Trust Network , Symantec Corporation
swiftdatas.exe / Build Corp , Gangnam-gu , Seoul , 110111-6670164 , Private Organization , Symantec Class 3 Extended Validation Code Signing CA - G2 , Symantec Trust Network , Symantec Corporation
swiftdataun.exe / Build Corp , Gangnam-gu , Seoul , 110111-6670164 , Private Organization , Symantec Class 3 Extended Validation Code Signing CA - G2 , Symantec Trust Network , Symantec Corporation
부팅시 자동으로 시작되는 프로그램 정보
시작프로그램 종류 : 레지스트리
등록된 값 : MPop
실행파일 경로 : C:\Users\Administrator\AppData\Roaming\MatchPop\common\bin\MatchPop.exe
시작프로그램 종류 : 작업 스케쥴러
등록된 값 : DownTube
실행파일 경로 : C:\ProgramData\DownTubeFolder\downtube.exe
시작프로그램 종류 : 작업 스케쥴러
등록된 값 : o2sch1
실행파일 경로 : C:\Users\Administrator\AppData\Roaming\MatchPop\common\bin\MPSch.exe
바탕화면 및 작업표시줄에 생성되는 바로가기
C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\동영상변환(카카오인코더).lnk
C:\Users\Public\Desktop\DownTube-다운튜브.lnk
C:\Users\Public\Desktop\동영상변환(카카오인코더).lnk