시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램 설치를 유도하는 "Windows SeStPageSetup" 프로그램(MD5 : cb245978b016da24fdabde2a6bb7936e)에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  <2013년 1~6월 관련 정보> 제휴(스폰서) 프로그램 : Windows pdswater (2013.6.12) 외 10종

 

기존에 유사한 방식으로 업데이트 창 생성을 통해 수익성 프로그램을 배포하던 변종 프로그램들이 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SeStPage
C:\Program Files\SeStPage\cns.dat
C:\Program Files\SeStPage\SeStPacnt.exe
C:\Program Files\SeStPage\SeStPage.exe :: 시작 프로그램 등록 파일
C:\Program Files\SeStPage\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\SeStPage" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\SeStPage\SeStPage.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일은 특정 서버에서 업데이트 정보 및 실행 카운터(Counter)를 체크하여 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 "정기 업데이트 설치" 창에서는 "정기 업데이트 권장 프로그램"이라는 이름으로 총 10종의 수익성 프로그램들의 설치를 유도하고 있으며, 만약 프로그램이 설치될 경우 다양한 광고창, 유료 결제, 추가적인 다운로드 유도 등의 활동이 이루어질 수 있습니다.

 

특히 사용자가 업데이트 창의 우측 상단에 있는 "닫기(X)" 버튼을 클릭할 경우 제시되는 문구를 통해 사용자의 실수를 유발하여 수익성 프로그램이 설치되도록 하였으므로 조심하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
www.secondpage.co.kr

또한 Windows SeStPageSetup 프로그램이 설치된 환경에서는 홈 페이지(시작 페이지)에 "h**p://www.secondpage.co.kr" 주소를 추가하는 동작을 확인할 수 있습니다.

이를 통해 사용자가 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 에스케이소프트뱅크(SKSoftBank) 업체에서 서비스하는 SecondPage 광고 페이지가 함께 생성되는 동작을 확인할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Windows SeStPageSetup (remove only)" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 "C:\Program Files\SeStPage\SeStPacnt.exe" 파일 실행을 통해 사용자 Mac Address 값을 기반으로 한 삭제 카운터(Counter) 정보를 전송합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = www.secondpage.co.kr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SeStPage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SeStPage = C:\Program Files\SeStPage\SeStPage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows SeStPageSetup (remove only)

 

정기 업데이트 설치창을 통해 설치될 수 있는 수익성 프로그램 정보

 

(1) 검색 도우미 : TopTool (2013.5.23)

  • h**p://dn.***setup.com/130701/TopTool__TT22.exe (MD5 : d7848ef778aaefe1afb329da2e714e3f) - AhnLab V3 : PUP/Win32.NBiz (VT : 10/47)
  • <추가 다운로드> h**p://file.util*.net/dst/TopTool_TT22.exe (MD5 : 7fdb846edf851d1cd48785ff16eb9234) - AhnLab V3 : Win-PUP/Helper.TopTool.343344 (VT : 21/46)

(2) 검색 도우미 : STool (2013.5.22)

  • h**p://dn.***setup.com/130701/STool__SD22.exe (MD5 : d51e9cf4a9dc6dcb9014f81f94c89281) - AhnLab V3 : PUP/Win32.Helper (VT : 9/47)
  • <추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD22.exe (MD5 : 309706ab210177db95a3d0d2d4f06c77) - AhnLab V3 : PUP/Win32.Helper (VT : 18/47)

(3) 검색 도우미 : InsideTool (2013.5.13)

  • h**p://dn.***setup.com/130701/IETab__IE105.exe (MD5 : 16e4082a52e6dcb356234112688dced3) - AhnLab V3 : PUP/Win32.InsideTool (VT : 9/47)
  • <추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT145.exe (MD5 : 06e38f6bf0920986f9dfe71e2bce0eb9) - AhnLab V3 : PUP/Win32.InsideTool (VT : 17/47)

(4) 검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://dn.***setup.com/130701/winspop_runpart.exe (MD5 : 7c38fe6316629cf5f5e819ca8fe864d3)

(5) 검색 도우미 : Windows CloudGet (2013.4.13)

  • h**p://dn.***setup.com/130701/cloudget_cg0001.exe (MD5 : 088055d047050cd3b0fbca6f3c27f0db)

(6) 검색 도우미 : Micro theam secure softwear profile (2013.6.16)

  • h**p://dn.***setup.com/130701/macon.exe (MD5 : 97d4b429935e0bb8f539e94b56211d81) - AhnLab V3 : PUP/Win32.KorAd (VT : 3/47)

(7) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)

  • h**p://dn.***setup.com/130701/setup_tang.exe (MD5 : 16d65505bb59de55604f181718fe0d8b)

(8) 개인정보 보안 솔루션 : 맥스보안(MaxBoan) (2013.7.2)

  • h**p://down.***boan.com/maxboan_water.exe (MD5 : 620088b99724c6e9448c860e372def7e)

맥스보안(MaxBoan) 프로그램은 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다.

 

(9) PC 최적화 프로그램 : 리얼패스터(RealFaster) (2013.7.3)

  • h**p://down.****faster.com/realfaster_water.exe (MD5 : 2f7621a84095c101c5359f2218e75f1b)

리얼패스터(RealFaster) 프로그램은 PC 속도 향상 검사를 통해 유료 결제를 유도하는 프로그램으로 차후 정보를 공개할 예정입니다.

 

(10) 악성코드 제거 프로그램 : 백신365(Vaccine365) (2013.5.2)

  • h**p://dn.***setup.com/130701/Vaccine365_pang.exe (MD5 : 5ff0825f9259fb622f55751ea1489102) - Hauri ViRobot : Trojan.Win32.FakeAV.110664 (VT : 12/47)

위와 같은 대부분의 불필요한 프로그램(PUP) 프로그램들은 사용자의 잘못된 PC 사용 습관으로 인해 설치되는 경우가 많으므로 이런 프로그램이 설치된 사용자들은 원치 않는 프로그램들이 설치되지 않도록 주의하시기 바랍니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..