오래 전부터 국내 광고 프로그램 등을 배포할 목적으로 외형적으로는 유용한 프로그램처럼 소개하여 설치되지만 실제 사용자가 프로그램을 직접 실행할 메뉴를 제공하지 않으면서 특정 시간에 추가적인 프로그램 설치를 유도하는 경우가 있었습니다.
▷ 제휴(스폰서) 프로그램 : Window SysCheck (2012.12.18)
대표적으로 시스템 정보 확인 프로그램으로 설치되었던 Windows SysCheck 프로그램의 실제로는 다수의 제휴 프로그램을 배포할 목적을 제작된 프로그램이었습니다.
그런데 2020년 2월 중순경부터 SysInfo 프로그램(SHA-1 : e6e7417319af6a1c0f9e30af05bbdbc64772c97d - AhnLab V3 : PUP/Win32.Installer.C3993437) 이름으로 설치되는 특이한 프로그램이 확인되어 간단하게 살펴보도록 하겠습니다.
C:\Users\%UserName%\AppData\Roaming\SysInfo
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfo.exe :: 시스템 정보(System Infomation) 확인 파일
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoMng.exe
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUninstall.exe :: SysInfo 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUp.exe :: 시작 프로그램(SysInfo) 등록 파일
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUpch.exeC:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfo.exe
- SHA-1 : a7a35d65427cefa3b1a8d8bab71db9911d5c7a0e
- Dr.Web : Trojan.Adkor.1025
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoMng.exe
- SHA-1 : c9aa4293129713e7a799c85141a0e2e912de48ac
- Dr.Web : Trojan.Adkor.1025
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUninstall.exe
- SHA-1 : a22ef1366d8f60b76256eb3044336f718b9e265e
- Dr.Web : Trojan.Adkor.1025
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUp.exe
- SHA-1 : aae99c0d96232834537ee677a09108ae36f44522
- Dr.Web : Trojan.Adkor.1025
C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfoUpch.exe
- SHA-1 : f9b09ecedc4458167c5fc3465f363d0d7f5c9dc5
- Dr.Web : Trojan.Adkor.1025
SysInfo 프로그램은 "C:\Users\%UserName%\AppData\Roaming\SysInfo" 폴더에 파일을 생성하며, 생성된 파일들은 "Plan11 Co.,Ltd." 디지털 서명이 포함되어 있습니다.
▷ 인공지능(AI) 인터넷 도우미 winclientservice.exe 파일의 정체 (2018.8.11)
▷ Send Anywhere 프로그램으로 추가되는 Smart search 광고 프로그램 정보 (2019.9.10)
참고로 "Plan11 Co.,Ltd." 디지털 서명은 국내 광고 프로그램에서 많이 확인되고 있는 서명 중의 하나입니다.
SysInfo 프로그램이 설치된 환경에서는 프로그램 실행을 위한 바로 가기 메뉴가 전혀 없으므로 사용자가 "C:\Users\%UserName%\AppData\Roaming\SysInfo\SysInfo.exe" 파일을 찾아 직접 실행하지 않는다면 외형적으로 보여주는 시스템 정보창을 확인할 수 없습니다.
만약 사용자가 SysInfo.exe 파일을 찾아 직접 실행할 경우에는 시스템 정보(System Infomation) 창이 생성되는 것을 확인할 수 있습니다. (※ Infomation 철자는 오타입니다. 실제로는 Information입니다.)
즉, 외형적으로는 시스템 정보를 제공하는 유용한 프로그램처럼 구성되어 있지만 해당 프로그램을 사용자가 쉽게 실행할 수는 없습니다.
SysInfo 프로그램의 실제 동작은 Windows 시작 시마다 시작 프로그램 레지스트리(Run)에 SysInfo 값을 추가하여 Windows 시작 시마다 sysinfoup.exe 파일을 자동 실행하도록 구성되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SysInfo = "c:\users\%UserName%\appdata\roaming\sysinfo\sysinfoup.exe"
실행된 SysInfoup.exe 파일은 프로그램 버전 체크와 함께 업데이트 정보를 체크한 후 추가로 다운로드할게 없는 경우 자동 종료처리되어 SysInfo 프로그램이 설치된 PC에서 평소에는 동작하는 모습을 전혀 확인할 수 없습니다.
만약 추가적으로 다운로드할 정보가 서버에 등록되어 있다면 업데이트 창 생성을 통한 추가적인 파일 다운로드 등의 동작이 있을 것으로 추정됩니다.
해당 프로그램 제거를 위해서는 앱 및 기능에 등록된 SysInfo 프로그램을 찾아 제거를 진행하시기 바라며, 프로그램 제거 후에는 추가적으로 "C:\Users\%UserName%\AppData\Roaming\SysInfo" 폴더를 찾아 직접 삭제하시기 바랍니다.
또한 "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\SysInfo" 시작 프로그램 등록 레지스트리 값이 자동 삭제되지 않으므로 레지스트레 편집기(regedit)를 실행하여 SysInfo 키를 찾아 삭제하시기 바랍니다.
SysInfo 프로그램은 광고 프로그램 기능이 없으므로 사용자는 PC에 설치되어 있는지 제대로 인지하기 어려우며, 나중에 원치않는 광고 프로그램 등이 설치될 수 있으므로 사전에 찾아서 프로그램을 제거하시기 바랍니다.