본문 바로가기

벌새::PUP Info

제휴(스폰서) 배포 프로그램 : Windows Live Updater - tepuvnpte.exe (2014.9.21)

반응형

 

국내에서 제작되어 인터넷 검색 및 웹 사이트 접속시 광고창 생성을 유발하며 업데이트 창을 통해 유사한 광고 프로그램 설치를 유도하는 INSAFE, JDK, INISafe, Resttime 계열의 광고 및 배포 프로그램 설치와 연관되는 "Windows Live Updater" 프로그램에 대한 정보가 수집되어 살펴보도록 하겠습니다.

출처 : 네이버 지식iN

광고 프로그램 배포 기능을 가진 것으로 추정되는 "Windows Live Updater" 프로그램은 시스템 부팅 후 "업데이트 안내" 창 생성을 통해 해당 배포 조직에서 운영하는 유사 계열의 다양한 광고 및 배포 프로그램의 설치를 유도할 수 있을 것으로 추정됩니다.

 

"Windows Live Updater" 변종 프로그램(tepuvnpte.exe) 정보

 

파일 경로

 C:\Windows\tepuvnpte.exe

MD5

 24845DA0E7324E07F70190930D84558B

진단명

 Win32:Dropper-NSH [Drp] (avast!)

제품 이름

 PC Software

파일 설명

 tepuvnpte.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tepuvnpte

비고

 서비스(tepuvnpte, 표시 이름 : tepuvnpte.exe) 등록 파일

 

"Windows Live Updater" 배포용 프로그램은 Windows 폴더 내부에 변종에 따라 다양한 파일명으로 생성될 수 있으며, 파일 속성에 등록된 "PC Software" 값으로 구분을 할 수 있습니다.

 

"tepuvnpte (표시 이름 : tepuvnpte.exe)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\tepuvnpte.exe" 파일을 자동으로 실행하여 특정 업데이트 서버 정보를 체크할 수 있을 것으로 추정되며, 이를 통해 특정 시점에서는 업데이트 창 생성을 통해 다수의 광고 및 배포용 프로그램의 설치를 유도할 수 있습니다.

 

특히 "Windows Live Updater" 프로그램의 이름이 Symantec 보안 제품 설치로 인해 등록되는 "Windows LiveUpdate" 프로그램과 이름을 유사하게 등록하여 사용자에게 혼동을 유발하고 있습니다.

 

기본적으로 프로그램 삭제는 제어판에 등록된 "Windows Live Updater" 삭제 항목을 이용하여 삭제할 수 있으며, 수동으로 프로그램 삭제를 원하시는 분은 다음의 절차를 참고하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "tepuvnpte"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동으로 삭제할 수 있습니다.(※ 명령어에 입력되는 변수는 파일명에 따라 달라질 수 있습니다.)

(b) "C:\Windows\tepuvnpte.exe" 파일을 찾아 삭제하시기 바랍니다.

 

해당 계열의 광고 프로그램이 설치된 PC 환경을 보면 업데이트 기능을 통해 동일 업체에서 운영하는 다수의 광고 프로그램이 함께 설치되어 있는 것을 알 수 있으며, 이런 설치의 중심에는 "Windows Live Updater" 배포용 프로그램이 관여하고 있는 것으로 보이므로 설치되지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형