본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Micro Windows CleanFree

728x90
반응형

국내에서 사용자들이 원치않는 수익성 프로그램을 배포하는 방식으로 메모리 최적화 프로그램의 설치를 통해 특정 시점에서 업데이트 창을 생성하여 다양한 불필요한 프로그램(PUP)의 설치를 유도하는 경우가 있었습니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 스마트 메모리(Smart Memory) (2012.5.25)

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : OutMemory (2012.11.22)

 

  제휴(스폰서) 프로그램 : CleanMemory (2013.6.1)

 

이번에는 PC 시스템 최적화 기능을 가진 클린프리(CleanFree) 프로그램(MD5 : 4f63a63c055deb4a843d94f011bb6aa4)을 배포하면서 유사한 방식으로 배포자가 원하는 시점에서 수익성 프로그램의 설치를 유도하는 사례를 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\CleanFree
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfset.exe
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfsrv.exe :: 서비스(CFSRV) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfuninst.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfunset.exe
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfup.exe
C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cleanfree.exe :: CleanFree 프로그램 실행 파일

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\CleanFree" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 하도록 구성되어 있습니다.

"CFSRV(CF Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfsrv.exe" 파일을 자동 실행하도록 합니다.

자동 실행된 서비스 파일(cfsrv.exe)은 ① "C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfup.exe" 파일 로딩을 통해 특정 파일 서버로부터 제휴 프로그램 업데이트 정보를 체크하며, ② "C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cfset.exe" 파일 로딩을 통해 클린프리(CleanFree) 실행 파일(cleanfree.exe)을 매번 다운로드를 수행합니다.

 

1. 클린프리(CleanFree) 프로그램 정보

"Micro Windows CleanFree" 프로그램이 설치된 환경에서는 기본적으로 클린프리(CleanFree) 프로그램 실행을 위한 메뉴(바로가기 아이콘)가 생성되지 않기 때문에 사용자가 직접 "C:\Users\(사용자 계정)\AppData\Roaming\CleanFree\cleanfree.exe" 파일을 찾아 실행할 경우에만 그림과 같은 프로그램 실행 모습을 확인할 수 있습니다.

 

이는 설치된 PC 사용자가 클린프리(CleanFree) 프로그램이 설치되었는지 여부를 전혀 눈치채지 못하게 하기 위한 목적으로 보이며, 이를 통해 시스템 부팅 과정에서 업데이트 창 생성을 통해 사용자의 부주의한 실수로 제휴 프로그램을 추가적으로 설치하도록 하기 위한 전형적인 방식입니다.

 

2. "CleanFree Update" 창을 통해 제휴 프로그램 정보

"Micro Windows CleanFree" 프로그램이 설치된 환경에서 특정 시스템 시작 과정에서 "CleanFree Update" 창 생성을 통해 프로그램 업데이트 리스트를 제시하며, 추가된 목록에는 다음과 같은 제휴 프로그램들이 포함될 수 있습니다.

 

(1) 검색 도우미 : Windows Basic Free WinShop (2013.9.17)

  • h**p://gegu**.kr/bin/mjr07.exe (MD5 : 9f4619590df84fd7769d60424fa91bd2)

(2) 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31)

  • h**p://inter****professional.net/install-program/Install-29713003.exe (MD5 : 361e30d03113ccf160b38e922e79b265) - nProtect : Adware/W32.Agent.409600 (VT : 29/48)

(3) 검색 도우미 : FindLock - fnlag.exe + fnlink.exe (2013.7.28)

  • h**p://file.fi**lo**.co.kr/Ball/fnlag.exe (MD5 : 45cd56968b8dc0b2d3316f36da88d798) - Kaspersky : Trojan.Win32.Agent.ablpy (VT : 22/47)

(4) 검색 도우미 : TabStation (2013.8.18)

  • h**p://down.***station.net/tab/tab1/TabStationT.exe (MD5 : 29d7ecadd01609319f495bce30d3666b)

(5) 제휴(스폰서) 프로그램 : 윈도우뷰콘(Window ViewCon) - windowviewcon(goorma) uninstall (2012.4.30)

  • h**p://file.m**k.co.kr/app/windowviewcon/WindowviewconSetup_revealer.exe (MD5 : cce35530591dbcac161e65643284655d) - AhnLab V3 : PUP/Win32.WindowsTap.C169475 (VT : 4/47)

참고로 WindowViewCon 프로그램의 경우에는 "Windows Purchase Helper" 검색 도우미 프로그램이 함께 설치되는 사례도 있었으므로 참고하시기 바랍니다.

 

(6) 검색 도우미 : searchup (2012.8.6)

  • h**p://download.search**.co.kr/v1.0/eeslSetup.exe (MD5 : 3830dc7dc347cd51e377d5ca983bd7a4) - AhnLab V3 : PUP/Win32.SearchUp.R35699 (VT : 21/48)

위와 같이 "Micro Windows CleanFree" 프로그램 배포 목적은 PC 최적화 프로그램 제공이 아니라 업데이트 창을 통한 사용자의 실수를 유발하여 불필요한 프로그램(PUP)을 설치할 목적으로 파악되므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Micro Windows CleanFree" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\CLEANFREEINFO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\CleanFree.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CleanFree
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CFSRV

 

일반적으로 업데이트 창 생성을 통해 제휴 프로그램을 설치하는 방식에서는 사용자가 화면을 제대로 확인하지 않고 버튼을 클릭한다는 점을 이용하므로 버튼 클릭시 화면에 표시된 내용을 잘 살피면서 결정하시기 바랍니다.

728x90
반응형