바탕 화면에 광고 코드가 추가된 바로가기 아이콘을 생성하면서 추가적으로 지속적인 업데이트 서버 연결을 시도하는 "Wemake Zoneclick Uninstall Client" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 71eea5f7220322ecd5b82124b35bde2b)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.Adntop.357197 (VirusTotal : 4/42) 진단명으로 진단되고 있습니다.
▷ 제휴(스폰서) 프로그램 : Wemake Zoneclick Uninstall Client (2012.5.16)
참고로 Wemake Zoneclick Uninstall Client 이름을 가진 유사한 기능을 가진 변종 프로그램이 존재하므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\바탕 화면\반값 SALE ★50%★.lnk
C:\Program Files\apartpop
C:\Program Files\apartpop\aparcnt.exe
C:\Program Files\apartpop\apartpop.exe :: 시작 프로그램 등록 파일
C:\Program Files\apartpop\appwordmds.exe
C:\Program Files\apartpop\aptsvc.exe :: aptpop SERVICE 서비스 등록 파일
C:\Program Files\apartpop\cns.dat
C:\Program Files\apartpop\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\bacon_03.ico
C:\Program Files\apartpop\appwordmds.exe
- MD5 : b623a75ddf6c965e704ea1a0320b0f8b
- Hauri ViRobot : Adware.Agent.688128.B (VirusTotal : 2/42)
해당 프로그램은 "C:\Program Files\apartpop" 폴더에 파일을 생성하며, Windows 시작시 apartpop.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 사용자 Mac Address 값 체크 및 다음과 같은 연결을 하도록 구성되어 있습니다.
GET /wemake/wemake.php?pcode=0 HTTP/1.1
Accept: */*
Accept-Language: ko
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR3.5.30729; InfoPath.2)
Host: app.ezoneclick.com
Connection: Keep-Alive
연결 정보를 살펴보면 그림과 같은 광고 코드가 추가된 광고 배너를 읽는 것으로 보이며, 테스트에서는 실제적으로 광고 배너 생성 동작은 확인되지 않고 있습니다.
참고로 생성된 apartpop.exe 파일을 확인해보면 이전의 글에서와 마찬가지로 wepop.EXE 파일 속성값을 가지고 있습니다.
또한 서비스에 "aptpop SVC(aptpop SERVICE)" 항목을 등록하여 시스템 시작시 "C:\Program Files\apartpop\aptsvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
해당 서비스는 메모리에 상주하여 6초 단위로 "C:\Program Files\apartpop\appwordmds.exe" 파일을 로딩하여 사용자 Mac Address 값 체크 및 특정 업데이트 서버에 연결을 시도하여 추가된 번들(Bundle) 프로그램이 존재할 경우 설치를 유도할 것으로 추정됩니다.
특히 지속적인 연결 시도로 인하여 사용자가 PC를 이용하는 과정에서 활성화된 창이 깜빡이는 증상이 발생할 수도 있습니다.
바탕 화면에 생성된 "반값 SALE ★50%★" 바로가기 아이콘은 광고 코드(cl.ilikeclick.com)가 추가되어 있으며 연결시 특정 소셜 커머스 사이트로 연결이 이루어지고 있습니다.
프로그램의 삭제를 위해서는 우선적으로 실행창에 [sc stop "aptpop SVC"] 명령어를 입력하여 동작 중인 서비스를 중지하시기 바랍니다.
그 후 제어판의 "Wemake Zoneclick Uninstall Client(remove only) ." 삭제 항목을 이용하여 프로그램을 삭제한 후, 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\바탕 화면\반값 SALE ★50%★.lnk
- C:\Program Files\apartpop
- C:\Program Files\apartpop\cns.dat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- apartpop = C:\Program Files\apartpop\apartpop.exe
HKEY_CURRENT_USER\Software\winspopc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\apartpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- apartpop = C:\Program Files\apartpop\apartpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Wemake Zoneclick Uninstall Client(remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APTPOP_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aptpop SVC
참고로 "C:\Program Files\apartpop\aparcnt.exe" 파일의 기능은 프로그램 설치 및 삭제시 사용자 Mac Address 값을 체크하여 설치와 삭제 카운터(Counter) 로그를 전송하도록 제작되어 있습니다.
Wemake Zoneclick Uninstall Client 프로그램은 지금까지 확인된 것과 같이 유사한 기능을 가진 프로그램이 다양한 생성 방식으로 사용자 PC에 설치되는 것으로 보이며, 차후 업데이트 서버에 추가적인 수익성 프로그램이 등록될 경우 설치를 유도할 가능성이 있으므로 주의하시기 바랍니다.