갑자기 처음 보는 팝업이 발생.
TUBEDOWN 은 설치된 프로그램이 아니고, 사용한 기억도 없는 프로그램이었다.  

실행 리소스 위치를 확인 했을때, [프로그램 안내]로 표현되는 팝업은 아래 위치에 updater.exe 형태로 존재했다.

USER > AppData > Local > Temp



자동 다운로드된 시간 확인 후 공유기내 기록되는 웹 접속 로그를 확인해 봤다.

공유기단에서 기록되는 웹로그는 공유기를 통해 접속한 모든 디바이스들, loT 기기들 포함 사소한 접속까지 기록된다. 
사실상 집안에서 인터넷을 사용하는 모든 기록이 남게 되는데, 이런 경우 도움이 된다.
해당 시간 로그에 남은 기록은 확실히 구분되는 기록들을 제외하고, 단 한개 기록이다. 

www.cacaotools.com 

범인은 카카오. 카카오 관련 프로그램은 한가지다. 카카오인코더. 
내 메인 컴퓨터에 설치되는 프로그램들은 테스트용 PC에서 설치와 설정 테스트를 거친 이후 설치된다. 또한 테스트 과정에서도 해당 프로그램들의 독립성에 대해 확인 과정을 거친다.
카카오 인코더의 경우 지난해 11월 설치 됐고, 설치와 테스트 과정에서 튜브다운이니 MATCHPOP이니 하는 끼워팔기식 장난을 하지 않는 간단한 툴이었다. 

CacaoEncoder를 [다음 팟인코더]의 후속 버전이라 생각하는 사람들이 있다. 그러나, CacaoEncoder는 다음이나 카카오와는 상관 없는, 전혀 상관 없는 개인이 만든 조잡한 소스일 뿐이다. 기존 소스들을 응용해 카피했을 뿐이라 인코더로써 성능도 떨어지고 품질도 낮다. 

아래 Cacaotools.com 으로 접속해보면, 문법과 문장 표현도 엉성하고 틀린, 조잡한 페이지로 운영하고 있는 것을 볼 수 있다.

프로그램을 가장한 악성툴 배포자들은 20여년 전 부터 존재해 왔다. 저 CacaoTools 배포자는 그 20여년을 생존해온 생명체거나, 후속 변종일 것으로 판단 된다.  

Cacaotools 도메인은 https://blog.naver.com/casebell 이 계정으로 등록돼 있다. 블로그 내용에서도 cacaoencoder 홍보를 하고 있는 모습을 볼 수 있다.  


 

 

 

 



팝업에 뜬 내용을 꼼꼼히 살표보자~
약관을 읽어보면 그 당돌하고 기찬표현에 웃음이 나올 정도다.
이건 프로그램이 아닌 악성툴에 가깝다.

소프트웨어(TUBEDOWN)사용자 약관

소프트웨어(TUBEDOWN)를 사용하는 사용자의 권한과 의무에 관련된 사항이오니, 본 소프트웨어를 설치하시기 전에 자세히 읽으십시오. 본 소프트웨어 사용자 약관은 회사와 사용자 간에 체결된 소프트웨어에 대한 법적인 계약입니다.

소프트웨어에는 유/무선 네트워크를 이용한 온라인 서비스와 서비스에 포함되는 소프트웨어 제품 등의 가능한 모든 조합이 포함됩니다. '동의함' 버튼을 누르거나 소프트웨어를 설치, 복사 또는 기타 방식으로 사용할 경우, 사용자는 본 약관을 읽고, 이해했으며, 동의함을 의미합니다.

만일 귀하가 본 약관에 동의하지 않으면, '취소' 버튼을 누르거나 이 소프트웨어를 설치하지 마십시오.

제 1 조 [목적]
본 약관은 “TUBEDOWN”(이하 '회사'라 함)와 이용 고객(이하 “사용자”라 함) 간에 회사가 제공하는 TUBEDOWN 소프트웨어(이하 '소프트웨어'라 함)의 사용 및 제공에 관한 제반 사항을 규정함을 목적으로 합니다.

제 2 조 [이용약관의 명시, 효력 및 개정]
① 본 약관은 소프트웨어의 설치 과정상에 공시되며 이에 대하여 사용자가 동의함으로써 효력을 발생합니다.
② 회사는 필요하다고 인정하는 경우 본 약관을 개정할 수 있고, 개정 약관은 적용일자를 명시하여 그 적용일자 7일 전부터 적용일 전일까지 홈페이지를 통해 공지합니다.
③ 사용자는 변경된 약관에 대해 거부할 권리가 있습니다. 사용자가 개정된 약관에 동의하지 않을 경우 제10조에 따른 방법으로 계약해지를 요청할 수 있으며, 약관이 개정된 날로부터 7일 이후에도 약관 개정에 대한 거부의사를 표시하지 아니하고 소프트웨어를 계속 사용할 경우 약관의 개정에 동의한 것으로 간주합니다.
④ 사용자가 개정된 약관을 알지 못하여 발생한 손해에 대하여 회사에서는 책임을 지지 않습니다.

제 3 조 [용어의 정의 및 사용의 허가]
① 본 이용약관에서 사용하는 용어의 정의는 다음과 같습니다.
1. “소프트웨어”는 미디어 영상이 있는 URL 이 입력할 경우 관련 동영상을 추출 할 수 있는 프로그램입니다.
2. “서비스”란 ③ 회사의 허가 또는 별도의 계약 없이 상업적인 목적으로 복사, 배포, 대여, 리스, 판매, 사용허가, 이전, 양도하는 것은 금지되어 있습니다.

제 4 조 [소프트웨어 사용의 제한]
① 회사에서 제공하는 소프트웨어는 공개 소프트웨어로서 사용자에 의한 제3자로의 비영리적인 목적의 배포를 허용하나, 이 경우 반드시 소프트웨어명과 저작자명, 그리고 소프트웨어의 주요기능에 대한 설명을 첨부하여야 합니다.
② 사용자는 회사의 동의 없이 소프트웨어를 수정, 번역, 리버스 엔지니어링, 디컴파일 또는 디스어셈블 등 본래의 취지에 벗어난 변형, 소스코드 분석 등을 할 수 없습니다.
③ 사용자는 본 약관 및 관계법령을 준수하여야 하며, 회사는 사용자의 약관 및 관련법령 위반행위로 인한 결과에 대해 어떠한 책임을 지지 않습니다.

제 5 조 [소프트웨어의 저작권]
① 본 소프트웨어 및 관련 문서에 대한 권리, 소유권 및 지적 재산권은 회사가 보유합니다.
② 본 소프트웨어 및 원천 기술과 그에 관련된 문서는 국제 저작권 협약의 보호를 받습니다.
③ 사용자는 소프트웨어를 소유하는 것이 아니라 회사로부터 소프트웨어를 사용할 수 있는 허가를 받은 것에 불과합니다.

제 6 조 [기타 서비스 등의 제공]
회사는 소프트웨어가 설치된 사용자의 PC에 상업적인 형태의 서비스를 팝업, 배너, 플래쉬 등(이하 '상업적 내용')으로 표시할 수 있습니다.

 

회사는 사용자의 PC에 피해를 끼치는 컴퓨터 바이러스 등의 악성 소프트웨어가 아닌, 상업적 용도의 소프트웨어(툴바, 주소창 한글 검색 도우미, 악성 코드 치료프로그램, 바이러스 치료 프로그램 등)나 기타 회사가 서비스 향상을 위해 필요하다고 판단되는 임의의 파일을 사용자의 PC에 설치할 수 있습니다.

 

회사는 사용자가 PC에서 입력한 키워드를 검색 및 결과표시를 위해서 사용자의 PC 이외로 전송할 수 있으며, 회사는 이 키워드를 상업적 목적으로 사용하거나 제3자에게 익명으로 제공할 수 있습니다.

 

회사는 사용자가 검색엔진이나 주소창 등에서 검색어를 입력하여 나타나는 결과 및 웹 사이트 방문시 해당 사이트와 관련 있을 수 있는 제3자의 상업적 내용을 사용자의 PC에 전송할 수 있습니다.

 

회사는 사용자가 소프트웨어를 설치할 경우 사용자 PC의 시작페이지를 자유롭게 변경, 삭제하거나, 사용자 브라우저의 설정 중 본 소프트웨어 및 서비스 관련 URL을 신뢰할 수 있는 사이트로 추가할 수 있습니다. 변경된 설정은 사용자가 자유롭게 PC의 인터넷 옵션에서 다시 변경할 수 있으며, 이 경우 본 소프트웨어의 서비스가 정상적으로 동작하지 않을 수 있습니다.
⑥ 사용자는 본 소프트웨어를 이용해서 인터넷 이용 중 타사의 상업적 내용들을 제거할 수 있습니다. 다만, 이 경우 해당 인터넷 서비스업체와의 모든 문제는 사용자의 권리와 책임으로 하며, 회사의 상업적 내용은 제거되지 않을 수 있습니다.
⑦ 사용자는 본 약관에 동의하고 본 소프트웨어를 설치함으로써 회사가 전항에 따라 제공하는 상업적 내용을 포함한 모든 부가 서비스의 이용에 동의한 것으로 간주됩니다. 다만, 사용자는 본 소프트웨어를 PC에서 삭제하는 방법으로 자유롭게 전항에 따른 동의를 철회할 수 있습니다.

제 7 조 [기타 보증의 배제]
① 본 소프트웨어의 사용 또는 실행에 따른 모든 책임은 사용자에게 있습니다.
② 본 소프트웨어는 Microsoft Windows 7, 10 운영체제에서만 사용되어야 합니다.
제 9 조 [회사의 책임 제한]
① 회사는 소프트웨어를 통하여 제공하는 컨텐츠 등의 내용의 정확성 등의 여부에 대하여 보증을 하지 아니합니다.
② 회사는 소프트웨어의 사용 및 사용불능으로 인하여 사용자에게 발생한 손해에 대하여 일체 책임을 지지 아니합니다.
③ 회사는 사용자가 소프트웨어를 이용하여 기대하는 수익을 얻지 못하거나 상실한 것에 대하여 책임을 지지 아니합니다.
④ 회사는 사용자 상호간 및 사용자와 제3자 상호 간에 서비스를 매개로 발생한 분쟁에 대해 개입할 의무가 없으며, 이로 인한 손해를 배상할 책임도 없습니다.
⑤ 회사는 사용자가 소프트웨어를 사용할 수 없거나 사용법을 제대로 인지하지 못해서 발생한 이익 손실 등 부수적이고 간접적인 손해에 대해서도 책임을 지지 않습니다.

제 8 조 [계약의 해지 및 손해배상]
① 회사는 사용자가 본 약관을 준수하지 않거나 필요하다고 인정하는 경우 본 계약을 해지할 수 있습니다. 이 경우 회사는 계약종료를 위한 별도의 통지를 하지 않고, 유효한 계약종료를 위하여 어떠한 통지도 필요하지 않으며, 사용자는 소프트웨어의 복사본과 해당 구성 요소를 모두 삭제하여야 합니다.
② 사용자는 언제라도 본 소프트웨어를 삭제함으로써 본 소프트웨어 이용에 대한 계약을 해지할 수 있습니다. 다만, 계약 해지 이후에도 사용자의 부적절한 이용 등으로 인해 사용자가 부담해야 하는 비용 및 벌금은 본 사용권 계약 종료 이후에도 유효합니다.
③ 제2항에 따라 사용자에 의하여 회사에게 손해가 발생한 경우 회사는 사용자에게 손해배상을 청구할 수 있습니다.
④ 회사는 무상으로 배포되는 소프트웨어의 사용과 관련하여 이용자 또는 제3자에게 발생하는 어떠한 형태의 손해에 대하여 배상책임을 부담하지 아니합니다.
"사용자"는 언제든지 "프로그램"의 원본 및 복사본과 해당 구성요소를 모두 삭제함으로써 본 계약을 해지할 수 있습니다.
"프로그램"을 삭제하는 방법으로는 사용자 컴퓨터의 '제어판 ▶ 프로그램 추가/제거' 기능에서 "프로그램"을 제거하는 방법이 있습니다.

제 9 조 [약관 외 준칙]
본 이용 약관에 명시되지 아니한 사항에 대하여는 관계법령에 의거합니다.

[부칙]
(시행일) 본 사용약관은 2019년 3월 2일부터 시행합니다.

 

첫번째 이미지에 보이는 것과 같이, 이 팝업에는 확인 버튼 하나만 존재한다. 약관에서 처럼 동의함이니 취소니 하는 버튼은 존재하지 않는다. 때문에, 확인을 클릭하는 순간 프로그램 사용 계약에 자동 동의하게 되는 것이고, 해당 악성툴도 자동 설치되다. 
약관 내용에 붉은색으로 표시한 내용으로라면, 확인을 누른 이후 해당 프로그램은 언제든 윈도우 팝업 기능을 활용할 수 있으며, 임의 파일을 자동 설치 할 수 있게 될 뿐만 아니라, 해당 컴퓨터에서의 키워드 타이핑 정보를 탈취해 가며, 브라우저 사용 기록또한 탈취해 간다. 

이정도면 악성툴을 넘어 바이러스로 봐도 무방하다.

해당 팝업이 발생했을때, 팝업에 보이는 확인 버튼을 클릭하면 안된다.
팝업을 끄기 위해서는 윈도우 작업 관리자를 실행 - 해당 실행 리소스를 작업끝내기로 종료 시키서 팝업을 닫아야 한다.

 

그리고 윈도우 프로그램 추가/삭제로 CacaoEncoder;카카오인코더를 삭제 한다.

그러나, 중요한건 CacaoEncoder를 삭제하더라도 완전 삭제는 되지 않는다. CacaoEncoder가 설치된 프로그램 설치 폴더로 들어가면, CacaoEncoder 폴더가 남아 있고, 폴더 안에는 튜브다운 팝업을 발생 시키는 sch.exe + Medialifo.dll 파일이 남아 있다. 
CacaoEncoder 폴더 전체를 삭제 해야 한다.

그리고, USER > AppData > Local > Temp 폴더안에 전체 파일을 선택해 삭제 해야 한다. 
USER > AppData > Local > Temp 내부 파일의 경우 실행중인 일부 파일은 삭제되지 않는데, 삭제되지 않는 파일은 건너뛰기로 무시해도 된다.

되도록이면 카카오인코더를 위 과정으로 삭제하고 더이상 사용하지 않는 것을 권장한다.

2018년 카카오인코더가 설치된 컴퓨터에 채굴기 ; BitCoinMiner가 자동 설치 됐다는 사용자들이 있었고, 카카오인코더에서는 수정하는 듯 했지만, 위 약관에 나온 것 처럼, 언제든 어떤 툴이든 몰래 자동 설치 할 수 있게끔 2019년 3월 약관을 내세우고 있다.

CacaoEncoder는 악성툴로 봐야 한다.