인터넷 연결을 방해하는 크랙툴

인터넷 연결을 방해하는 크랙툴

 

최근 일부 PC에서 인터넷 익스플로러(Internet Explorer, 이하 IE) 및 크롬(Chrome) 브라우저 이용 시 ‘인터넷이 정상적으로 연결되지 않는다’ 메시지와 함께 인터넷 접속이 불가능한 현상이 발생하고 있다. 안랩의 확인 결과, 이 같은 증상은 대부분 윈도우(Windows) 정품인증을 우회하는 크랙툴(Crack tool)을 사용한 PC에서 발생하고 있다.

일반적으로 인터넷 연결이 정상적으로 이루어지지 않는 원인은 다양하다. 그러나 최근 윈도우 정품인증을 우회하는 불법적인 프로그램인 크랙툴 ‘KMSpico’를 사용한 PC에서는 특히 아래와 같은 증상이 나타나고 있다.

1. ‘127.0.0.1:8080’으로 Proxy 설정 또는 인터넷 연결 불가
2. 구글 검색 결과가 일반적인 형태와 다르게 나타남

위의 증상이 나타나는 PC에서 공통적으로 아래와 같은 파일이 서비스에 등록되어 있는 것이 확인되었다.



위와 같이 isupdate.exe라는 파일이 서비스에 등록되어 있기 때문에 사용자가 설정을 해제하더라도 PC를 재부팅하면 다시 동일한 설정이 적용될 수 있다.

해당 PC에서 IE의 LAN 설정을 살펴보면 Proxy 서버로 127.0.0.1이 등록되어 있다. 이로 인해 구글 검색 결과가 일반적인 형태와 다르게 나타난다. [그림 1]의 우측 부분은 해당 PC에서의 구글 검색 결과로, 구글의 페이지번호 아이콘이 표시되지 않는 것을 알 수 있다.

 

 

[그림 1] 정상적인 구글 검색 결과(왼쪽)와 비정상적인 검색 결과 화면(오른쪽)

한편 isupdate.exe 파일이 삭제된 후 [그림 2] 와 같이 설정이 유지되어 있을 경우 인터넷이 정상적으로 동작하지 않는 것으로 인식된다. isupdate.exe가 삭제되어 Loopback(127.0.0.1) 8080 포트 요청에 대해 응답할 수 없기 때문이다.

 

 

[그림 2] Proxy 설정

따라서 정상적으로 인터넷을 이용하기 위해서는 isupdate.exe 파일을 삭제한 후 [그림 2]의 [인터넷 옵션 > LAN설정 > 프록시 서버] 항목에서 ‘사용자 LAN에 프록시 서버 사용’ 체크박스를 해제해야 한다.

V3 제품은 크랙툴인 KMSpico와 isupdate.exe 파일을 ‘유해 가능 프로그램’으로 진단하고 있다.


Win-AppCare/Agent.43520.D (2015.07.25.01)
HackTool/Win32.Crack (2015.02.03.02)

‘유해 가능 프로그램’이란 악성코드는 아니지만 악의적인 목적으로 활용될 수 있는 파일, 또는 사용자에게 불편을 야기할 수 있는 프로그램(파일)을 의미한다. V3 제품에서는 아래와 같이 옵션을 통해 유해가능 프로그램의 탐지 및 차단 여부를 설정할 수 있다.

 

 

[그림 3] V3 제품의 ‘유해가능 프로그램’ 탐지 설정

크랙툴은 이번 사례와 같이 단순히 사용자의 불편을 초래하는 것뿐만 아니라 악성코드 유포에 이용되기도 한다.
악성코드 제작자들이 크랙툴에 악성코드를 삽입하여 재배포하는 경우가 다수 발견되고 있다.
이에 안전한 PC 사용을 위해서라도 반드시 정품 SW를 이용할 것을 권장한다.