Windows 부팅 과정에서 업데이트 창 생성을 통해 추가적인 수익성 프로그램을 설치할 수 있는 "윈도우 유틸리티 업데이트(Windows Utility Update)" 프로그램(MD5 : 886d8f56bc1819504d82d15457b2f8b8)에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : 윈도우 유틸리티 업데이트(Boosting) (2013.1.14)
해당 프로그램은 기존에 소개한 "윈도우 유틸리티 업데이트(Boosting)"의 변형된 버전으로 추정되므로 참고하시기 바랍니다.
"윈도우 유틸리티 업데이트(Windows Utility Update)" 프로그램이 설치되기 위해서는 "Utiltop Download Guide" 다운로드 창과 같은 특정 조건이 필요하며, 일반적으로 블로그, 공개 자료실 등과 같은 첨부 파일 또는 링크를 통한 프로그램 다운로드 과정에서 사용자의 실수를 유발하여 설치가 이루어질 수 있습니다.
▷ <Right Security Blog> 해외 압축 프로그램을 이용한 스폰서 프로그램 유포 (2012.1.10)
▷ 클릭 투 트윅(Click To Tweak) 도메인을 이용한 제휴(스폰서) 프로그램 유포 사례 (2012.5.14)
기존에 "Utiltop Download Guide"와 관련된 정보를 소개한 적이 있으므로 배포 방식에 대해 참고하시기 바랍니다.
C:\Program Files\Windows Utility Update
C:\Program Files\Windows Utility Update\pidadd.dll
C:\Program Files\Windows Utility Update\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Utility Update\wuu.exe :: 시작 프로그램 등록 파일
C:\Program Files\Windows Utility Update\pidadd.dll
- MD5 : 09425c938407cdae3983d5f387818c58
- nProtect : Adware/W32.KrAdword.33792 (VirusTotal : 3/45)
해당 프로그램은 "C:\Program Files\Windows Utility Update" 폴더에 파일을 생성하며, Windows 시작시 wuu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 wuu.exe 파일은 특정 서버에 사용자 Mac Address, 실행 시점을 체크하여 업데이트 요청을 하는 부분을 확인할 수 있습니다.
테스트 시점에서는 추가적인 업데이트 창 생성 및 다운로드 관련 동작은 확인되지 않고 있지만, 조건이 맞을 경우 다음과 같은 추가적인 수익성 프로그램 다수가 설치될 수 있습니다.
해당 업데이트 정보를 확인해보면 프로그램 버전 업데이트를 위해 "윈도우 유틸리티 업데이트, 윈도우 유틸리티 언인스톨"은 필수 항목으로 지정될 것으로 보이며, 선택 항목으로 다수의 수익성 프로그램들이 백그라운드 방식으로 설치될 수 있습니다.
위와 같은 수익성 프로그램의 설치 통로를 제공하지 않기 위해서는 제어판에서 "Windows Utility Update" 삭제 항목을 찾아 프로그램을 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wuu = C:\Program Files\Windows Utility Update\wuu.exe
HKEY_CURRENT_USER\Software\Windows Utility Update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Utility Update
국내 포털 사이트 검색을 통해 접근할 수 있는 블로그, 카페, 공개 자료실의 경우 위와 같은 방식으로 사용자가 제대로 확인하지 않을 경우 수익성 프로그램 다수를 설치할 수 있으므로 프로그램 다운로드, 설치, 업데이트시에는 화면을 꼼꼼하게 살피는 습관을 가지시기 바랍니다.