▷ 제휴(스폰서) 프로그램 : pds launcher control 2.1 + windows pds update 1.1 (2012.1.31)
해당 프로그램은 기존의 윈도우 종료 매니저 프로그램으로 배포되는 "pds launcher control 2.1 + windows pds update 1.1" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
여기에서 이전에 언급한 것처럼 "예, 아니오" 버튼의 위치가 서로 변경되어 사용자가 종료한다는 말에 초점을 맞추어 "예" 버튼을 클릭할 경우 다수의 광고 프로그램이 설치되므로 반드시 "아니오" 버튼을 클릭하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\DelUS.bat
C:\Program Files\WindowtoJRmgr
C:\Program Files\WindowtoJRmgr\cntnjaryo.exe
C:\Program Files\WindowtoJRmgr\newupsMD.exe :: 시작 프로그램 등록 파일
C:\Program Files\WindowtoJRmgr\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\WindowtoJRmgr\winatJR.exe :: 윈도우 자동 종료 매니저 실행 파일
우선 추가적인 프로그램 설치없이 생성되는 프로그램 정보를 살펴보면 "C:\Program Files\WindowtoJRmgr" 폴더에 파일을 생성하며, Windows 시작시 newupsMD.exe 파일을 시작 프로그램으로 등록하여 "업데이트 관리자" 창을 생성하는 동작을 합니다.
만약 사용자가 업데이트 관리자 창에 추가된 광고성 프로그램을 설치한 경우 다음과 같은 프로그램이 설치됩니다.
(1) 검색 도우미 : WallTab (2011.9.4)
- h**p://update.*****world.kr/120220/***gagr/WallTab__WT12.exe (MD5 : 65b3365ff420b012cab22218f80a1805) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 14/42)
- h**p://update.*****world.kr/120220/***gagr/WallTab__WT107.exe (MD5 : d825eb2c28259fab5d0356fbfb19360f) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 13/42)
(2) 검색 도우미 : FineTop (2011.8.19)
- h**p://update.*****world.kr/120220/***gagr/FineTop__FT82.exe (MD5 : 0e08ff2338eec9a6910c04e11a094da7) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 15/42)
(3) 검색 도우미 : 위즈서치(WizSearch) - WizSearch Class (2011.4.6)
- h**p://update.*****world.kr/120220/***gagr/WizSearch_Install_jcecom.exe (MD5 : e5fbc574d14d29636c54d87fa6a30055) - Hauri ViRobot : Adware.Agent.66152 (VirusTotal : 16/43)
(4) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
- h**p://update.*****world.kr/120220/***gagr/exad017.exe (MD5 : bef16808da4adc252b549749874a9a2f) - Symantec : Adware.Adpopup (VirusTotal : 3/43)
(5) 검색 도우미 : Keyword Find (2011.11.25)
- h**p://update.*****world.kr/120220/***gagr/utildown.exe (MD5 : d00a5ca86dcbee73701eea6b4af8333a) - avast! : NSIS:Downloader-VX [Trj] (VirusTotal : 6/43)
실제 "Windows atshutdown mgrs" 프로그램이 설치될 당시 "종료 매니저 프로그램"으로 등록되어 있지만, 해당 프로그램 폴더를 확인해보면 사용자가 폴더 내에 존재하는 "C:\Program Files\WindowtoJRmgr\winatJR.exe" 파일을 수동으로 실행해야지 "윈도우 자동 종료 매니저" 창이 생성되는 것을 확인할 수 있습니다.
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 윈도우 자동 종료 매니저 1.0 (2011.9.23)
▷ <Right Security Blog> 제휴(스폰서) 프로그램 : Window Auto Shutdown Manager 1.0 (2011.11.12)
이는 이전에 공개되었던 유사한 윈도우 자동 종료 매니저 프로그램의 변형된 형태로 추정되며, 실제 해당 프로그램들은 윈도우 종료 기능 제공보다는 광고 프로그램 배포 목적이 강하다고 판단됩니다.
프로그램 삭제는 제어판의 "Windows atshutdown mgrs ." 삭제 항목을 이용하여 삭제할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WindowtoJRmgr = C:\Program Files\WindowtoJRmgr\newupsMD.exe
HKEY_CURRENT_USER\Software\winatJR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\winatJR.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WindowtoJRmgr = C:\Program Files\WindowtoJRmgr\newupsMD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows atshutdown mgrs
만약 업데이트 관리자 창에서 제시한 광고 프로그램이 설치된 사용자의 경우에는 제어판에서 다음의 삭제 항목을 찾아 삭제를 진행하시기 바랍니다.
이번 사례와 같이 최근 국내에서는 유용한 소프트웨어로 사용자 PC에 설치를 유도하면서 실제적으로는 다양한 광고 프로그램 설치를 목적으로 시스템 시작시 또는 일정 주기로 업데이트 창을 생성하여 광고 프로그램을 설치하도록 하는 경우가 있으므로 주의하시기 바랍니다.