시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "IPP web clients" 프로그램(MD5 : a83ce26677b1d82740c69055596feea4)에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일은 2013년 6월 12일경 배포가 확인되었으며, 파일의 "bundle_installer 응용 프로그램" 속성값을 통해 다양한 제휴(스폰서) 프로그램 배포 목적으로 제작된 것을 알 수 있습니다.
▷ 제휴(스폰서) 프로그램 : IPP web controller + Win Manager Client (2013.6.4)
또한 기존의 유사한 기능을 가진 "IPP web controller" 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.
프로그램 설치 과정에서는 특정 자료실 서버로부터 IDCLauncher5.exe 파일(MD5 : ea10a4490bd457b004898c1367785ec8)을 다운로드하여 "C:\IDCLauncher" 폴더에 파일을 생성하는 것을 확인할 수 있습니다.
C:\IDCLauncher
C:\IDCLauncher\IDCLauncher.exe :: 시작 프로그램 등록 파일 / 프로그램 삭제 파일
- MD5 : ea10a4490bd457b004898c1367785ec8
- BitDefender : Gen:Variant.Graftor.96891 (VT : 12/46)
해당 프로그램은 Windows 시작시 "C:\IDCLauncher\IDCLauncher.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 파일은 특정 서버에서 정보를 체크하며, 만약 추가된 파일이 존재할 경우 그림과 같은 업데이트 창을 생성하여 사용자의 부주의한 동의를 얻어 다수의 수익성 프로그램들이 설치될 수 있으므로 주의하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "IPP web clients" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\IDCLauncher" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\InfoPangPang
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- IDCLauncher.exe = C:\IDCLauncher\IDCLauncher.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IDCLauncher
"IPP web clients" 프로그램은 특정 시점에서 업데이트 창을 생성하여 사용자의 부주의한 실수를 통해 다수의 수익성 프로그램들을 백그라운드 방식으로 설치할 수 있으므로 주의하시기 바랍니다.