본문 바로가기

벌새::Analysis

제휴 프로그램 : Window Service Update

반응형

IP 체크 및 시스템 최적화 기능을 제공하는 프로그램으로 설치된 후 특정 시점에서 "서비스 업데이트 업데이트" 창을 생성하여 추가적인 제휴 프로그램의 설치를 유도하는 "Window Service Update" 프로그램<MD5 : 2c26c82a3cda3d452328ab3e29ce3714 - MSE : Rogue:Win32/Onescan (VT : 16/45)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 상반기 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

  제휴(스폰서) 프로그램 : Window Update Ware (2013.7.7)

 

  제휴 프로그램 : Window IP Checker (2013.11.30)

 

  제휴 프로그램 : Window Info Service (2013.12.22)

 

  제휴 프로그램 : Window Service Pop (2013.12.22)

 

해당 프로그램은 유사한 기능을 가진 다수의 변종 프로그램들이 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\service-update
C:\Program Files\service-update\service-update-se.exe :: 서비스(service-updateservice) 등록 파일
C:\Program Files\service-update\service-update.exe :: Window Service Update 프로그램 실행 파일
C:\Program Files\service-update\service-updateu.exe
C:\Program Files\service-update\uninst_service-update.exe :: Window Service Update 프로그램 삭제 파일
C:\Windows\windowdataconditional.dat
C:\Windows\windowdataconditional.exe :: 서비스(service-update Update Service) 등록 파일, windowdataconditional 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\service-update\service-update-se.exe
 - MD5 : b0fb213a53d158532de67f42ba23bf58
 - AhnLab V3 : PUP/Win32.UCF (VT : 8/49)

 

C:\Program Files\service-update\service-updateu.exe
 - MD5 : 8289e81a465ce543970e69939b01797d
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 14/49)

 

C:\Program Files\service-update\uninst_service-update.exe
 - MD5 : 7b90cd532b1eb045c3c8d465b51a511e
 - AhnLab V3 : Trojan/Win32.Fraudl (VT : 23/49)

 

C:\Windows\windowdataconditional.exe
 - MD5 : 5e61d339e539436a5d6abb169df5e236
 - AhnLab V3 : PUP/Win32.UserChange (VT : 28/49)

해당 프로그램은 "C:\Program Files\service-update" 폴더 내에 "Window Service Update" 프로그램을 설치하며, 추가적으로 Windows 폴더 내에 파일 생성을 통해 사용자 인증 관련 기능을 가진 windowdataconditional 프로그램을 함께 설치합니다.

windowdataconditional 프로그램은 "service-update Update Service (표시 이름 : service-update Support Service)" 서비스 항목을 등록하여 시스템 시작시 ["C:\Windows\windowdataconditional.exe" /update] 파일을 자동 실행되도록 구성되어 있습니다.

"Window Service Update" 프로그램은 "service-updateservice (표시 이름 : service-update service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\service-update\service-update-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(service-update-se.exe)은 "C:\Program Files\service-update\service-updateu.exe" 파일을 로딩하여 특정 업데이트 서버로부터 프로그램 업데이트 및 제휴 프로그램 정보를 체크합니다.

이를 통해 제휴 프로그램에 파일이 등록되어 있는 경우 "서비스 업데이트 업데이트" 창을 생성하여 사용자의 부주의한 실수를 유도하여 제휴 프로그램에 등록된 다수의 프로그램들을 자동으로 설치할 수 있으므로 주의하시기 바랍니다.

 

(1) PC 최적화 프로그램 : 컴스캔(ComScan) (2013.11.30)

  • h**p://update.***scan.co.kr/kcmn/comscansetup_team.exe (MD5 : abe0df9026f0af3a02cf623810cf3faa) - ESET : a variant of Win32/AdWare.Kraddare.JB (VT : 7/46)

(2) 개인정보 보안 솔루션 : 시큐리티파워(SecurityPower) (2013.11.9)

  • h**p://update.**curity**wer.co.kr/sqwety/securitypowersetup_team.exe (MD5 : e7ec537fb221593fbd538ceb6dd01e9e) - AVG : Generic5.AKLJ (VT : 6/49)

(3) 제휴 프로그램 : Window Info Service (2013.12.22)

  • h**p://update.*****service.co.kr/setup/info-service_setup_team.exe (MD5 : f5f87cf6beab7f0cf327860b8100f277) - AhnLab V3 : PUP/Win32.NKsolution (VT : 9/48)

(4) 제휴 프로그램 : Window Service Pop (2013.12.22)

  • h**p://update.service****.co.kr/setup/service-pop_setup_team.exe (MD5 : bc118f938e1e58e306d0b4252c47b957) - avast! : Win32:Adware-AZI [Adw] (VT : 8/49)

특히 업데이트 창 종료를 위해 닫기(X) 버튼을 클릭할 경우 "업데이트 보안 경고" 창을 생성하여 사용자에게 혼동을 유발하는 문구를 통해 "확인" 버튼을 클릭할 경우 제휴 프로그램을 자동으로 설치할 수 있으므로 화면을 잘 확인하시기 바랍니다.

"서비스 업데이트(Window Service Update)" 프로그램이 설치된 환경에서는 사용자가 "C:\Program Files\service-update\service-update.exe" 파일을 찾아 직접 실행한 경우에만 IP 체크 및 시스템 최적화 기능을 사용할 수 있도록 제작되어 있습니다.

 

이는 프로그램의 목적이 업데이트 창 생성을 통한 제휴 프로그램을 설치할 목적으로 제작된 것으로 볼 수 있습니다.

프로그램 삭제는 제어판에 등록된 "window service update", "windowdataconditional" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\service-update" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\service-update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\windowdataconditional
HKEY_LOCAL_MACHINE\SOFTWARE\service-update
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\service-update Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\service-updateservice

 

해당 프로그램이 설치된 환경에서는 평소에는 설치 여부를 알 수 없을 정도로 조용하지만, 특히 주말과 같은 특정 시점에서 Windows 부팅 과정에서 업데이트 창을 생성하여 부주의한 사용자를 대상으로 불필요한 프로그램(PUP)의 설치를 유도하므로 주의하시기 바랍니다.

728x90
반응형