최근 송플(Songple) 무료 음악 플레이어가 설치된 환경에서 홈 페이지 고정, 광고 팝업창 생성, 업데이트 창을 통한 다양한 제휴 프로그램 설치를 유도하는 "Songple SK06132014" 또는 "Songple SK0724102 1.0" 프로그램에 대한 분석 정보를 공개한 적이 있습니다.
그런데 해당 프로그램의 변종<SHA-1 : ea7ed4073e7d4cb80d403b564ff03aa06868b0d9 - Symantec : Download.Adware (VT : 22/54)>이 추가적으로 유포가 시작되면서 송플(Songple) 음악 플레이어와 광고 기능을 분리하여 프로그램이 설치되는 파일이 발견되어 추가적으로 살펴도록 하겠습니다.
프로그램 설치 과정을 살펴보면 배포 파일을 통해 광고 기능을 수행하는 "Songple Tabs" 프로그램을 "C:\Program Files\songpletabs" 폴더에 설치하며, 이 과정에서 "C:\Program Files\songpletabs\setup_songple.exe" 파일<SHA-1 : 5acc9b66a1c04b1e43a678177d41e5f9647b8590 - AVG : Generic.463 (VT : 4/53)>을 임시 생성하여 송플(Songple) 음악 플레이어 "Songple SK06132014" 또는 "Songple SK0724102 1.0" 프로그램을 "C:\Program Files\Songple" 폴더에 설치합니다.
1. "Songple SK06132014" 또는 "Songple SK0724102 1.0" 프로그램 정보
[생성 폴더 / 파일 등록 정보]
C:\Program Files\Songple
C:\Program Files\Songple\Songple.exe :: 프로그램 실행 파일
C:\Program Files\Songple\Songplecnt.exe
C:\Program Files\Songple\uninst.exe :: "Songple SK06132014" 또는 "Songple SK0724102 1.0" 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플삭제.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\송플
C:\Users\(사용자 계정)\Desktop\무료음악송플.lnk
에스케이소프트뱅크 디지털 서명이 포함된 "Songple SK06132014" 또는 "Songple SK0724102 1.0" 프로그램은 "C:\Program Files\Songple" 폴더에 파일을 생성합니다.
시작 메뉴 또는 바탕 화면에 등록된 송플(Songple) 바로가기 아이콘을 실행할 경우 "C:\Program Files\Songple\Songple.exe" 파일(SHA-1 : 4ba1765a888805a97bc67018bf2731dcdb92db35)을 실행하여 송플(Songple) 무료 음악 플레이어를 실행합니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\songple
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Songple.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Songple SK06132014
2. "Songple Tabs" 프로그램 정보
[생성 폴더 / 파일 등록 정보]
C:\Program Files\songpletabs
C:\Program Files\songpletabs\songpletabs.exe :: 시작 프로그램 등록 파일
C:\Program Files\songpletabs\uninst.exe :: Songple Tabs 프로그램 삭제 파일
C:\Windows\songpletabs.ini
[생성 파일 진단 정보]
C:\Program Files\songpletabs\songpletabs.exe
- SHA-1 : 8f02448b76b5b53a05e4988c65643a8eed00311d
- Symantec : Download.Adware (VT : 19/54)
에스케이소프트뱅크 디지털 서명이 포함된 "Songple Tabs" 프로그램은 "C:\Program Files\songpletabs" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\songpletabs\songpletabs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 시작 프로그램 등록 파일(songpletabs.exe)은 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창과 시스템 트레이 알림 아이콘 상단에 팝업창을 생성할 수 있습니다.
또한 자동 실행된 songpletabs.exe 파일이 특정 서버에서 구성값 정보를 체크하여 "정기 업데이트 안내" 창을 생성하여 다수의 제휴 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.(※ 업데이트 창을 통해 추가적으로 설치될 수 있는 제휴 프로그램은 지속적으로 변경될 수 있습니다.)
참고로 해당 업데이트 창을 종료하기 위해서는 좌측 닫기(X) 버튼을 클릭하여 생성된 메시지 창을 잘 읽은 후 "아니오(N)" 버튼을 클릭하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = http://widetabs.com/
"Songple Tabs" 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 홈 페이지에 "widetabs.com" 주소를 추가하여 웹 브라우저를 실행할 경우 "새 브라우저 살펴보기" 광고창을 함께 오픈하도록 구성되어 있습니다.
특히 해당 홈 페이지(Secondary Start Pages)를 사용자가 제거하여도 부팅시마다 자동 실행되는 "C:\Program Files\songpletabs\songpletabs.exe" 파일이 지속적으로 홈 페이지에 추가합니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = http://widetabs.com/
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SongpleUpdate = C:\Program Files\songpletabs\songpletabs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Songple Tabs
3. 프로그램 삭제 정보
이들 프로그램을 삭제하기 위해서는 제어판에 등록된 "Songple SK06132014", "Songple Tabs" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.(※ "Songple SK06132014" 삭제 항목은 "Songple SK0724102 1.0" 이름으로 변경된 변종이 확인되고 있습니다.)
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플.lnk
- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\송플\송플삭제.lnk
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\송플
프로그램 삭제 후에는 인터넷 옵션의 홈 페이지에 등록된 "widetabs.com" 홈 페이지 주소를 삭제하시기 바랍니다.
송플(Songple) 무료 음악 플레이어은 설치시 광고 기능 이외에도 업데이트 창 생성을 통해 불필요한 프로그램(PUP) 다수를 추가적으로 설치하여 PC 사용에 심각한 불편을 유발할 수 있으므로 주의하시기 바랍니다.