제휴(스폰서) 프로그램 : pds launcher control 2.1 + windows pds update 1.1

국내에서 제작되어 삭제 기능을 제공하지 않는 Window back Manager 서비스를 통해 시스템 시작시 허위 "윈도우 종료 매니저 프로그램"으로 설치를 유도하는 "pds launcher control 2.1 + windows pds update 1.1" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Window back Manager 서비스를 통해 사용자 몰래 다운로드된 설치 파일(MD5 : 45de80feddcdca9d2c049ef31d4ee0e6)을 통해 다음과 같은 2개의 파일을 추가로 다운로드하도록 구성되어 있습니다.

 

 

① "momocell.com" 서버에 연결하여 트래픽 체크를 한 후 ② 특정 업데이트 서버(update.paris*****.kr)에서 Favornd.exe, Favorst.exe 파일을 다운로드하도록 구성되어 있습니다.

 

 

사용자에게는 윈도우 종료 매니저 프로그램으로 표시된 "pds launcher control 2.1", "windows pds update 1.1" 2개의 설치창이 생성되며 "I Agree"를 클릭할 경우 설치되도록 구성되어 있습니다.

우선 여기에서 분명하게 짚고 넘어갈 부분은 설치시 제공되는 이용약관에서 표기된 윈도우 종료 매니저 프로그램의 기능은 존재하지 않는 것으로 확인되고 있습니다.

설치 과정을 살펴보면 Favornd.exe(MD5 : 1820ea479f6dd5446223fefbc4f3d551) 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\utilpds" 폴더 내에 "pds launcher control 2.1" 프로그램을 설치하며, Favorst.exe(MD5 : fdb9ed961429243f907ce977ec18e517) 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\InfoSeven_wind_s.exe" 파일로 자가 복제한 후, "C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil" 폴더에 "windows pds update 1.1" 프로그램을 설치하도록 구성되어 있습니다.

[생성 폴더 / 파일 등록 정보]

■ pds launcher control 2.1 프로그램

C:\Documents and Settings\(사용자 계정)\Application Data\utilpds :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\pds2cnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\uninst.exe :: pds launcher control 2.1 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilpds.exe :: Windows 종료 매니저 업데이트 실행창 생성 파일
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilsvc.exe :: update utilpds 서비스 등록 파일

■ windows pds update 1.1 프로그램

C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdscnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutil.exe :: Windows 종료 매니저 업데이트 실행창 생성 파일
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutilsvc.exe :: pdsutil mgr 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\uninst.exe :: windows pds update 1.1 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\InfoSeven_wind_s.exe :: windows pds update 1.1 프로그램 설치 파일

 

해당 프로그램이 설치된 환경에서 "pds launcher control 2.1" 프로그램은 Windows 시작시 서비스로 등록된 "update utilpds" 항목은 "C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilsvc.exe" 파일을 자동 실행하여 다음과 같은 업데이트 창을 생성합니다.

 

 

"Windows 종료 매니저 업데이트" 창으로 표시된 내용을 살펴보면 "이 컴퓨터에 대한 Windows 종료 매니저 권장 프로그램이 있습니다."라는 문구가 포함되어 있는 것을 확인할 수 있으며, 앞서 언급한 것처럼 해당 프로그램은 윈도우 종료와 관련된 기능 자체가 존재하지 않는 것으로 보입니다.

 

 

해당 문구의 "Windows 종료 매니저 권장 프로그램" 부분을 클릭할 경우 네이버(Naver) 메인 페이지로 연결이 되고 있는 것을 확인할 수 있습니다.

"항목별 프로그램 목록 및 버전" 창에서는 현재 6개의 광고성 프로그램이 체크된 상태로 등록되어 있는 것을 확인할 수 있습니다.

  ▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

해당 프로그램(MD5 : bef16808da4adc252b549749874a9a2f)은 파일함(Fileham) 웹하드 회원 가입을 목적으로 제작된 검색 프로그램입니다.

  ▷ 검색 도우미 : FineTop (2011.8.19)

해당 프로그램의 설치 파일(MD5 : 0e08ff2338eec9a6910c04e11a094da7)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 7/42) 진단명으로 유해 가능 프로그램으로 진단하고 있습니다.

  ▷ 국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)

해당 프로그램(MD5 : f44a21a3c46403f2faed472e1244832a)은 Internet Explorer 웹 브라우저 즐겨찾기와 바탕 화면에 G마켓, 11번가, 옥션 등 인터넷 쇼핑몰 바로가기 아이콘을 생성합니다.

  ▷ 검색 도우미 : WallTab (2011.9.4)

해당 프로그램의 설치 파일(MD5 : d825eb2c28259fab5d0356fbfb19360f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 6/42) 진단명으로 유해 가능 프로그램으로 진단하고 있습니다.

그 외에도 서치팩(SearchPack) 프로그램(MD5 : ba30c3a29262ac97a90d303c0527a4d1), sphelper 프로그램(MD5 : 5e629cec418448e04dd4a8efbb64affd)을 설치하여 광고 생성 등의 동작을 합니다.

만약 사용자가 "Windows 종료 매니저 업데이트" 창에서 제공하는 "나중에 하기" 버튼을 클릭할 경우 다음과 같은 문제의 확인창이 생성되는 것을 확인할 수 있습니다.

 

 

해당 확인창은 다른 일반적인 창과는 다르게 "예 / 아니오" 버튼의 위치가 변경되어 있으며, 제시되는 "업데이트가 남았습니다. 업데이트를 하시고 종료하겠습니까?"라는 문구에서 사용자들은 착각을 하여 창을 종료하기 위해 "예" 버튼을 클릭할 경우 체크된 광고 프로그램이 설치되는 동작으로 연결이 이루어집니다.

일반적으로 이런 창이 생성될 경우 습관적으로 창 종료를 위한 확인창으로 오해하여 무조건 "예" 버튼을 클릭할 수 있는 점을 노렸거나, 업데이트를 하시겠느냐는 질문에 "아니오" 버튼이 오른쪽에 위치한다는 습관을 이용하여 "예" 버튼을 오른쪽에 위치시켰을 수도 있었으리라 판단됩니다.(개인적으로 분석 과정에서 습관의 무서움을 버리지 못하고 "예" 버튼을 클릭하여 유포자의 의도대로 설치가 되었답니다.)

 

 

업데이트 창이 생성되어 다운로드가 이루어지는 네트워크 연결 정보를 살펴보면 "update.green****.kr" 서버에서 제휴(스폰서) 광고 프로그램을 체크하고, 파일 다운로드는 "update.paris*****.kr" 서버에서 받아오는 것을 확인할 수 있습니다.

 

 

또한 초기 설치시 함께 설치된 "windows pds update 1.1" 프로그램은 Windows 시작시 서비스로 등록된 "pdsutil mgr" 항목을 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutilsvc.exe" 파일을 자동으로 실행하여 "pds launcher control 2.1" 프로그램과 동일하게 "Windows 종료 매니저 업데이트" 창을 생성하는 동작을 확인할 수 있습니다.

 

 

프로그램 삭제를 위해서는 제어판의 "pds launcher control 2.1", "windows pds update 1.1" 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\pdslnch
HKEY_CURRENT_USER\Software\utilpds
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pds2cnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pdscnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pds launcher control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\windows pds update
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PDSUTIL_MGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_UPDATE_UTILPDS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pdsutil mgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\update utilpds

 

또한 제휴(스폰서) 프로그램으로 설치된 프로그램은 제어판의 "파일함탐색기", "FineTop", "SearchPack Uninstall", "sphelper", "WallTab" 삭제 항목을 이용하여 삭제하실 수 있으며, 즐겨찾기와 바탕 화면에 생성된 인터넷 쇼핑몰 바로가기는 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제해야 합니다.

해당 프로그램의 경우 비록 사용자 동의 과정을 통해 설치되는 것처럼 구성되어 있지만, 존재하지 않는 윈도우 종료 프로그램으로 위장하고 있다는 점과 동일한 기능의 프로그램을 2개로 나누어 설치하여 추가적인 광고 프로그램을 설치하려고 한다는 점에서 문제가 있습니다.

특히 "예 / 아니오" 버튼의 위치 변화는 사용자의 습관을 이용하여 실수를 통해 광고 프로그램이 설치되도록 한다는 점에서 주의가 요구됩니다.