본문 바로가기

벌새::Analysis

"widetabs.com" 홈 페이지를 고정하는 "Songple SK06132014" 프로그램 주의 (2014.6.28)

반응형

송플(Songple) 무료 음악 플레이어를 설치하여 "widetabs.com" 홈 페이지를 고정하며 업데이트 창을 통해 다수의 불필요한 프로그램(PUP) 설치를 유도하는 "Songple SK06132014" 프로그램<SHA-1 : e05bc83a1e06eb4dfe977e5cf177661ff478c51b - Symantec : Trojan.ADH.2 (VT : 21/54)>에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존의 유사한 기능을 가진 다양한 변종이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Songple
C:\Program Files\Songple\Songple.exe :: 프로그램 실행 파일
C:\Program Files\Songple\Songplecnt.exe
C:\Program Files\Songple\songpletab.exe :: 시작 프로그램 등록 파일
C:\Program Files\Songple\uninst.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플삭제.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\송플
C:\Users\(사용자 계정)\Desktop\무료음악송플.lnk
C:\Windows\songple.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\Songple\songpletab.exe
 - SHA-1 : cb6dea5594ba7845f485490f9fe5af5f2d15a4bb
 - BitDefender : Gen:Variant.Adware.Strictor.45952 (VT : 20/53)

에스케이소프트뱅크 디지털 서명이 포함된 "Songple SK06132014" 프로그램은 "C:\Program Files\Songple" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\Songple\songpletab.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

"Songple SK06132014" 프로그램이 설치된 환경에서는 사용자가 바탕 화면 또는 프로그램 목록을 통해 프로그램을 실행(C:\Program Files\Songple\Songple.exe)할 경우 송플(Songple) 무료 음악 플레이어를 실행하여 유튜브(YouTube)에 업로드된 음악을 불러와서 재생해 주는 프로그램입니다.

 

하지만 내부적으로 다음과 같은 다양한 동작을 통해 광고 기능 및 추가적인 프로그램 설치 유도를 하고 있으므로 자세히 살펴보도록 하겠습니다.

 

1. Songple 시작 프로그램 등록

 

(1) 구글 애드센스(Google AdSense) 광고 팝업창 생성

Windows 시작시 시작 프로그램으로 등록되어 자동 실행된 "C:\Program Files\Songple\songpletab.exe" 파일은 특정 서버에서 광고값을 불러와 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성합니다.

 

(2) "widetabs.com" 홈 페이지 고정 기능

Windows 시작시 시작 프로그램으로 등록되어 자동 실행된 "C:\Program Files\Songple\songpletab.exe" 파일은 "Secondary Start Pages" 홈 페이지 영역에 "widetabs.com" URL 값을 매번 등록합니다.

이를 통해 Internet Explorer 웹 브라우저 실행시마다 사용자가 지정한 홈 페이지 이외에 "새 블라우저 살펴보기" 탭을 추가로 오픈하여 구글 애드센스(Google AdSense) 광고와 제휴 코드가 추가된 인터넷 쇼핑몰 바로가기가 포함된 "widetabs.com" 광고 페이지가 자동으로 오픈됩니다.

 

(3) 업데이트 창 생성

또한 자동 실행된 "C:\Program Files\Songple\songpletab.exe" 시작 프로그램 등록 파일은 특정 서버에서 업데이트 정보를 체크하여 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 "정기 업데이트 안내" 창에서는 다수의 제휴 프로그램을 좁은 영역에 등록하여 사용자의 실수를 유발하여 자동으로 설치하도록 제작되어 있으므로 매우 주의하시기 바랍니다.

 

해당 업데이트 창이 생성된 경우에는 좌측 닫기(X) 버튼을 클릭하여 생성된 메시지 창의 내용을 잘 읽고 "아니오(N)" 버튼을 클릭하여 종료하시기 바랍니다.

 

제휴 프로그램 : Windows dtconaboutbaks (2013.12.12)

  • h**p://dn.***setup.com/131210/set_deatabak.exe (SHA-1 : d34bcd6ca11d08634afddb188dafe12497d3a5f6) - BitDefender : Gen:Variant.Adware.Graftor.72519 (VT : 35/53)

홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

  • h**p://home****system.kr/app/1.0/install/HC_Setup_Site_PID_05.exe (SHA-1 : 568dd9b55b2cf21a7e54be79b25a868b6ae54ea8) - AhnLab V3 : PUP/Win32.Security.R103685 (VT : 29/54)

검색 도우미 : InbToolN (2014.5.7)

  • h**p://dn.***setup.com/140430/InbToolN_IN03.exe (SHA-1 : c73efe33f318e88d97572927bffbba843cddd73c) - AhnLab V3 : PUP/Win32.NBiz.R12440 (VT : 28/54)

검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://dn.***setup.com/130701/winspop_runpart.exe (SHA-1 : f2a279a5afbd7d46195388a38e575050a808406a) - AhnLab V3 : PUP/Win32.Winerspop.C238222 (VT : 8/54)

다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)

  • h**p://dn.***setup.com/130701/setup_tang.exe (SHA-1 : a4ef227f8b8b3271b7ae666f7d8af553a48a4edb) - McAfee : Artemis!16D65505BB59 (VT : 7/54)

개인정보 보안 솔루션 : 마스터보안(MasterBoan) (2012.7.6)

  • h**p://down.master****.com/masterboan_dual.exe (SHA-1 : 508121b4a52dbc6ce8b5703affddaac602d7f75a) - AhnLab V3 : PUP/Win32.NKsolution.R78039 (VT : 17/54)

PC 최적화 프로그램 : 부스터클린(BoosterClean, Booster-Clean) (2013.5.2)

  • h**p://down.boo****clean.com/boosterclean_dual.exe (SHA-1 : f0cd2240817450ea24b691f24ad0b1c9a48fd76a) - avast! : Win32:Malware-gen (VT : 6/54)

winsearch2.dll 오류창을 생성하는 quickad 광고 프로그램 주의 (2014.2.7)

  • h**p://dn.***setup.com/140124/Setup_quickad.exe (SHA-1 : 9363247114de0852d50809ebdaeb4e6086feff59) - AhnLab V3 : PUP/Win32.KorAd.R109521 (VT : 37/54)

검색 도우미 : Windows Now Pack Drivers (2013.11.24)

  • h**p://dn.***setup.com/140402/setup_j2navi.exe (SHA-1 : 47c3d2d2412cbbc56176a6464364c86076e6b0fe) - AhnLab V3 : PUP/Win32.Helper.R94281 (VT : 3/54)

검색 도우미 : SearchLike (2013.10.1)

  • h**p://down.search****.co.kr/distribute/SLSimple/searchlike.exe (SHA-1 : ebd3b4c8aa82e42899a0875e04180c97d7d6273c) - AhnLab V3 : PUP/Win32.SearchLike.R85894 (VT : 37/54)

■ 인터넷 방송 프로그램 : 티비핫티비(TVhotTV)

  • h**p://dn.***setup.com/140430/HottvSetupNoGUI.exe (SHA-1 : cb2a78e6727dbff7c124e54cb382ac241210484f) - AhnLab V3 : PUP/Win32.AboutTab.C381901 (VT : 15/53)

티비핫티비(TVhotTV) 프로그램은 Adobe AIR 기반으로 동작하는 인터넷 방송 프로그램(C:\Program Files\tvhottv)을 설치합니다.

 

Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

  • h**p://dn.***setup.com/140408/adInstall_ssi020.exe (SHA-1 : 485ba16b6364f8ca47c020b36705d4d429853729) - AhnLab V3 : PUP/Win32.Helper.C239886 (VT : 30/54)

검색 도우미 : Window Search (2014.5.8)

  • h**p://down.win**search.com/setup_wsx002_silent.exe (SHA-1 : b312b5f42f31bffc002b1ae38af111b1619bdb52)

악성코드 제거 프로그램 : 백신툴즈(VaccineTools) (2013.4.4)

  • h**p://down.***cinetools.com/VaccineTools_dual.exe (SHA-1 : 1d16ac4fdf3722dcd6bfa5e509256cb9f888365b) - BitDefender : Gen:Variant.Adware.Graftor.46187 (VT : 27/53)

삭제를 방해하는 "Internet Explorer Distribution Of Earnings - ProVersion + Retain" 광고 프로그램 정보 (2014.5.21)

  • h**p://www.mi***names.co.kr/download/App/3220/Translation.exe (SHA-1 : e53ab8f2563a65ab1c76c084cb02313ad1f023c2) - avast! : Win32:Adware-ADK [PUP] (VT : 9/54)

2. 광고창 및 업데이트 창 기능 종료 방법

시스템 시작시 생성되는 구글 애드센스(Google AdSense) 광고 팝업창 및 불필요한 프로그램(PUP)을 자동으로 설치할 수 있는 업데이트 창 생성으로부터 안전하게 기능을 종료하기 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하고 있는 songpletab.exe 프로세스를 찾아 종료하시기 바랍니다.

 

3. 프로그램 삭제 방법

프로그램 삭제는 제어판에 등록된 "Songple SK06132014" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제시에는 "C:\Program Files\Songple\Songplecnt.exe" 파일(SHA-1 : eb1f8b81abef63e0572702b5533e922a68c27c6a) 실행을 통해 삭제 카운터(Counter) 정보를 특정 서버에 전송합니다.

 

또한 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

 

  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플.lnk
  • C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플삭제.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\송플

또한 Internet Explorer 웹 브라우저의 인터넷 옵션 메뉴를 통해 홈 페이지 주소에 등록된 "widetabs.com" URL 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = http://widetabs.com/
HKEY_CURRENT_USER\Software\songple
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Songple.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Songple = C:\Program Files\Songple\songpletab.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Songple SK06132014

 

"Songple SK06132014" 프로그램은 유용한 무료 음악 플레이어를 제공하고 있는 것처럼 제작되어 있지만, 실질적으로는 광고창, 홈 페이지 고정, 업데이트 창을 통한 추가적인 광고성 프로그램 설치로 문제를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형