컴퓨터 예약 종료 프로그램을 이용하여 추가적인 수익성 프로그램의 설치를 유도하는 것으로 추정되는 "Win PC Poweroff" 프로그램(MD5 : c715d7498a9e133f8bef2dbc16b8012b)에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : PowerOff Manager (2012.8.3)
해당 프로그램은 기존의 컴퓨터 예약 종료 프로그램으로 소개한 PowerOff Manager 프로그램의 변형된 버전이므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\시작 메뉴\PC예약종료
C:\Documents and Settings\(사용자 계정)\시작 메뉴\PC예약종료\PC예약종료실행.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\pcpoweroffuc.lnk :: 숨김(H) 속성
C:\Program Files\pcpoweroff
C:\Program Files\pcpoweroff\License.txt
C:\Program Files\pcpoweroff\pcpoweroff.exe :: 프로그램 실행 파일
C:\Program Files\pcpoweroff\pcpoweroffmon.exe :: 서비스(PC Power Off Service) 등록 파일
C:\Program Files\pcpoweroff\pcpoweroffuc.exe :: 시작 프로그램 등록 파일
C:\Program Files\pcpoweroff\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\pcpoweroff\pcpoweroff.exe
- MD5 : dc8c739f5ac0184a67fe2c0a339afd0b
- nProtect : Adware/W32.KrAdword.162688 (VirusTotal : 3/43)
C:\Program Files\pcpoweroff\pcpoweroffmon.exe
- MD5 : 34ed10a017379ff0b5170b66b14cbf4e
- nProtect : Adware/W32.KrAdword.117632 (VirusTotal : 4/44)
C:\Program Files\pcpoweroff\pcpoweroffuc.exe
- MD5 : d4f6e709959d789adbcbbe0855c10738
- nProtect : Adware/W32.KrAdword.228224 (VirusTotal : 4/44)
해당 프로그램은 "C:\Program Files\pcpoweroff" 폴더에 파일을 생성하며, "monpcpoweroff(PC Power Off Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\pcpoweroff\pcpoweroffmon.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
자동 실행된 pcpoweroffmon.exe 서비스 파일은 실행 후 3분이 경과하면 특정 서버와 통신 후 자동으로 종료하도록 구성되어 있습니다.(※ 해당 파일은 전원 예약 종료 기능을 수행합니다.)
사용자가 프로그램 목록에 등록된 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\PC예약종료\PC예약종료실행.lnk" 메뉴를 실행하면 "컴퓨터 종료 관리자" 창이 생성되어 예약 종료를 설정할 수 있습니다.
여기까지는 Win PC Poweroff 프로그램이 제공하는 정상적인 컴퓨터 예약 종료 기능이며, 다음의 내용은 Windows 시작시 추가적으로 동작하는 수익 창출 부분입니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- pcpoweroff = "C:\Program Files\pcpoweroff\pcpoweroffuc.exe" /run
Win PC Poweroff 프로그램은 시작(Run) 레지스트리 영역에 "pcpoweroff" 값을 등록하여 Windows 시작시 pcpoweroffuc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
추가적으로 시작 프로그램 폴더 영역에 숨김(H) 속성값을 가지는 "pcpoweroffuc" 바로가기를 등록하여 Windows 시작시 pcpoweroffuc.exe 파일을 자동 실행하도록 등록해 두었습니다.
이 부분은 Win PC Poweroff 프로그램이 설치된 PC 사용자가 최적화 프로그램을 이용하여 시작 프로그램에 등록된 값을 체크 해제할 경우를 대비한 이중 장치라고 판단됩니다.
해당 숨김(H) 속성값 등록으로 인하여 실제 프로그램 목록의 시작 프로그램에는 "(비어 있음)"으로 표시되지만, 실제로는 "pcpoweroffuc" 바로가기가 등록되어 있는 상태입니다.
이렇게 등록된 2개의 시작 프로그램 값을 통해 자동 실행된 pcpoweroffuc.exe 파일은 특정 서버에 접속하여 구성값을 체크하며, 기존 PowerOff Manager 프로그램을 동작을 고려한다면 "프로그램 업데이트 이용안내 및 설치 정보" 창과 같은 업데이트 창을 생성하여 수익성 프로그램의 설치를 유도할 것으로 보입니다.
프로그램 삭제는 제어판의 "Win PC Poweroff" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 "영문+숫자"를 입력하여 삭제를 진행하시기 바랍니다.
또한 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\시작 메뉴\PC예약종료
- C:\Documents and Settings\(사용자 계정)\시작 메뉴\PC예약종료\PC예약종료실행.lnk
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- pcpoweroff = "C:\Program Files\pcpoweroff\pcpoweroffuc.exe" /run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\pcpoweroff
HKEY_CURRENT_USER\Software\pcpoweroff
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\pcpoweroff
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MONPCPOWEROFF
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\monpcpoweroff
▷ 제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)
▷ 국내 악성코드 : PC예약종료 1.0 (2012.11.8)
최근 컴퓨터 예약 종료 프로그램을 이용한 수익성 프로그램 배포 방식이 종종 확인되고 있으므로 원치 않는 수익성 프로그램이 설치되지 않도록 주의하시기 바랍니다.