본문 바로가기

벌새::Analysis

제휴 프로그램 : Window Service Pop

반응형

IP 체크 및 시스템 최적화 기능이 포함된 프로그램이 설치된 경우 "서비스팝 업데이트" 창 생성을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있는 "Window Service Pop" 프로그램<MD5 : bc118f938e1e58e306d0b4252c47b957 - AhnLab V3 : PUP/Win32.NKsolution (VT : 8/49)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 상반기 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

  제휴(스폰서) 프로그램 : Window Update Ware (2013.7.7)

 

  제휴 프로그램 : Window IP Checker (2013.11.30)

 

  제휴 프로그램 : Window Info Service (2013.12.22)

 

해당 프로그램은 유사한 기능을 가진 다양한 변종 프로그램이 배포된 적이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\service-pop
C:\Program Files\service-pop\service-pop-se.exe :: 서비스(service-popservice) 등록 파일
C:\Program Files\service-pop\service-pop.exe :: 프로그램 실행 파일
C:\Program Files\service-pop\service-popu.exe
C:\Program Files\service-pop\uninst_service-pop.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\service-pop\service-pop-se.exe
 - MD5 : cb3c8ff7e9e7c800e176fdc419ff218b
 - AhnLab V3 : PUP/Win32.UCF (VT : 6/49)

 

C:\Program Files\service-pop\service-popu.exe
 - MD5 : 459e92ba3a025e32f69a2ace0b664427
 - avast! : Win32:Adware-AZI [Adw] (VT : 10/49)

 

C:\Program Files\service-pop\uninst_service-pop.exe
 - MD5 : 6f50b5ba6654266970df1e68b2ee39d8
 - AhnLab V3 : Trojan/Win32.Fraudl (VT : 18/49)

해당 프로그램은 "C:\Program Files\service-pop" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

"service-popservice (표시 이름 : service-pop service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\service-pop\service-pop-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(service-pop-se.exe)은 "C:\Program Files\service-pop\service-popu.exe" 파일을 로딩하여 프로그램 업데이트 및 제휴 프로그램 정보를 체크하도록 되어 있습니다.

 

이 과정에서 제휴 프로그램이 서버에 등록되어 있는 경우 "서비스팝 업데이트" 창을 생성하여 사용자의 실수를 유발하여 다양한 수익성 프로그램들을 설치할 수 있으므로 주의하시기 바랍니다.

서비스팝(Window Service Pop) 프로그램은 사용자가 "C:\Program Files\service-pop\service-pop.exe" 파일을 찾아 직접 실행한 경우에만 IP 체크 및 시스템 최적화 기능을 사용할 수 있도록 제작되어 있으며, 실질적으로는 프로그램 설치를 통해 특정 시간에 업데이트 창 생성을 통한 광고 프로그램 설치 목적이라고 볼 수 있습니다.

프로그램 삭제는 제어판에 등록된 "window service pop" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\service-pop
HKEY_LOCAL_MACHINE\SOFTWARE\service-pop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\service-popservice

 

서비스팝(Window Service Pop) 프로그램은 평소에는 조용하게 설치된 상태를 유지하다가 주말과 같은 특정 시간대에 Windows 부팅 과정에서 업데이트 창 생성을 통해 부주의한 사용자들을 대상으로 불필요한 프로그램(PUP)의 설치를 유발할 수 있으므로 위와 같은 프로그램이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형