본문 바로가기
개발

Fph.exe 유감 그리고 강제 종료시키기

by esstory 2008. 5. 16.


 

요 며칠 고객 센터와 본사 라인을 통해 고객들 중 일부에서 저희가 만들고 있는 프로그램이 실행조차 안 된다는 연락이 왔습니다.

이런 경우 대부분 바이러스나 스파이웨어 등으로 인한 문제였기 때문에 백신으로 치료하면 괜찮아 질 거라 생각하고 가벼이 여겼는데, 며칠 지나고 보니 동일 증상의 고객이 계속 늘어가더군요. 어떤 사람은 이것 때문에 PC를 포맷까지 했는데 며칠 지나고 또 같은 증상을 호소하기까지 했습니다. (얼마나 열 받았을까--)

 

이상하다 싶은 차에 해당 문제가 발생하는 고객들의 공통점을 확인해 본 결과, 작업 관리자에 “fph.exe” 라는 듣보잡 프로그램이 실행 중이었습니다. 그리고 어떻게든 이 프로그램을 종료시키니 이후 아무런 문제없이 저희 프로그램이 정상적으로 실행 된다네요.

 

이상타 여겨 구글링을 통해 “fph.exe” 를 조사해 보니, 파수닷컴(http://www.fasoo.com/)에서 제공하는 DRM(Digital Rights Management) 관련 프로그램이었습니다.

 

주로 저작권에 관련된 파일을 감시하기 위해 설치되는 프로그램인데 일반 고객들에게 이 프로그램이 항상 실행된다는 게 좀 이상했습니다.

 

제가 만든 프로그램에 문제가 있든 없든, 실행조차 안되게 만들고 있으니, 어쩔 수 없이 원인 파악에 들어가야 했습니다.

알고 보니 몇몇 인터넷 사이트에서 ActiveX 형식으로 배포 중이더군요. 특히 국방전자조달(http://www.d2b.go.kr/) 이나 한국언론재단홈페이지(http://www.kpf.or.kr/) 같은 사이트는 접속하자 마자 무조건 설치하도록 하고 있습니다.

뭐 이 프로그램이 무슨 일을 하든 간 제게 중요한 건 무슨 이유로 우리 프로그램을 실행시키지 못하게 하는가 입니다.

 

PC 에 위 프로그램을 설치하고 디버그로 실행했더니 어플리케이션의 최초 실행단계인InitInstance() 의 다음 함수 호출에서 영원히 동면해 버렸습니다.

 

CoInitialize(NULL)

 

어플리케이션을 후킹하는 기술에 대해서 잘 아는 바가 없어서 왜 이런 일이 생기는지 난감하더군요.  후킹을 할려면 제대로 하든가 할 것이지 왜 엄한 프로그램을 죽인단 말입니까.

 

결국 파수닷컴 개발자를 직접 연락해서 물어본 결과 실행되는 모든 프로그램에 훅킹을 거는데, 일부 프로그램에서 문제를 일으키는 현상이 있었고, 개선된 버전에는 이 문제가 해결되었다고 합니다.

문제는 한번 설치된 ActiveX 는 사용자가 새 버전을 설치 받기 위해 또 다시 해당 사이트에 접속하지 않는 한 계속 문제 있는 버전으로 남아 있다는 점이죠

게다가 사용자의 허락을 받지도 않고 자동으로 시작프로그램에 등록되어 PC 부팅과 함께 다른 프로그램을 훼방 놓고 있었습니다.

 

제 경우가 아니라도 조금만 검색해 보니 이 프로그램으로 인한 억울하게 업무에 방해 받은 분들이 꽤 많더군요.

 

이건 가히 악성 프로그램이라 할만 하다

[자유게시판] fph.exe 때려잡기! ::: 베타뉴스

fph.exe 파일 손보고 나서 빨라진 컴퓨터~~ 만세!

 

제가 생각하기에 이 프로그램은 정말 심각한 문제를 가지고 있습니다.

 

일단 ActiveX 주제에 시작프로그램까지 등록된다는 점입니다. 저작권 보호를 위해 꼭 필요한 조치라면 사용자에게 분명히 그러한 점을 설명해 주어야 합니다. 하지만 ActiveX 설치할 때 그 어디에도 주의 문구 하나 없이 단순히 사이트에 들어가려면 설치해야 한다는 내용밖에 없습니다. 이러니, 제가 상담한 고객 중에 자기가 직접 이 프로그램을 설치했다고 기억하는 사람이 한 명도 없습니다.  

 

 



두 번째로 이 프로그램을 종료시킬 수 있는 UI 가 존재하지 않습니다. 트레이아이콘에라도 등록된다면 사용자가 좀 더 주의를 기울일 수 있을 텐데 소리소문 없이 바이러스처럼 시스템에 항상 상주하면서 문제를 일으킵니다.  

 


세 번째로 프로세스 종료가 안됩니다. - 참 난감한 부분이었습니다. 프로그램을 종료시키면 자동으로 다시 실행됩니다. 워낙 순식간이라 지우면 다시 살아나고, 옆에 있으면 콱 때리고 싶더군요.

 

언인스톨 을 일부 지원하지 않습니다 - 사이트마다 설치되는 ActiveX 버전이 틀린데, 제가 설치한 사이트에서 배포한 버전은 다행히 프로그램 메뉴로 언 인스톨 할 수 있게 되어 있었습니다만, 문제가 생긴 사용자들의 PC 에는 그 어디에도 설치를 제거할 수 있는 메뉴가 없었습니다. (PC 포맷할 때까지 계속 쓰란 말인가요)

 

 

거의 반강제로 설치된 주제에 종료할 수도, 삭제할 수도 없는 이런 프로그램을 만든 것도 모자라, 이런 바이러스성 프로그램을 떡 하니 웹사이트 대문 진입로부터 설치하라고 하는 사이트들은 생각이 있기나 한 건지 모르겠습니다.

 

열 받은 김에 이 프로그램을 강제 종료시킬 수 있는 프로그램을 만들어 봤습니다.

다른 분들이 작성하신 글을 보니

2개의 프로세스를 어떻게든 종료하고, 시작프로그램에 등록된 프로그램에서도 제거하면 된다는 데 힌트를 얻어 만들었습니다.

 

혹시, 언인스톨이 지원되지 않는 버전을 설치한 분들은 요 프로그램을 사용하시면 어쩌면 해결의 실마리를 찾을 수 있을지도 모르겠습니다.

단 설치된 ActiveX 버전이 워낙 다양하다보니 당연히 100% 제대로 작동한다고 보장 못합니다. ^^; 꼭 필요하신 분만 사용하세요.

 

RemoveFasoo.exe



프로그램은 단순히 내려받은 다음 실행만 하면 되고, fph.exe winspmsv.exe를 순식간에 죽인다음(빨리 안 죽이면 바로 살아나기 때문에) 시작 프로그램 레지스트리에서도 제거합니다.

C:\Program Files\Fasoo DRM 폴더는 직접 지워주셔야 합니다.

 

댓글