본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : pds launcher control 2.1 + windows pds update 1.1

국내에서 제작되어 삭제 기능을 제공하지 않는 Window back Manager 서비스를 통해 시스템 시작시 허위 "윈도우 종료 매니저 프로그램"으로 설치를 유도하는 "pds launcher control 2.1 + windows pds update 1.1" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Window back Manager 서비스를 통해 사용자 몰래 다운로드된 설치 파일(MD5 : 45de80feddcdca9d2c049ef31d4ee0e6)을 통해 다음과 같은 2개의 파일을 추가로 다운로드하도록 구성되어 있습니다.

"momocell.com" 서버에 연결하여 트래픽 체크를 한 후 ② 특정 업데이트 서버(update.paris*****.kr)에서 Favornd.exe, Favorst.exe 파일을 다운로드하도록 구성되어 있습니다.

사용자에게는 윈도우 종료 매니저 프로그램으로 표시된 "pds launcher control 2.1", "windows pds update 1.1" 2개의 설치창이 생성되며 "I Agree"를 클릭할 경우 설치되도록 구성되어 있습니다.

우선 여기에서 분명하게 짚고 넘어갈 부분은 설치시 제공되는 이용약관에서 표기된 윈도우 종료 매니저 프로그램의 기능은 존재하지 않는 것으로 확인되고 있습니다.

설치 과정을 살펴보면 Favornd.exe(MD5 : 1820ea479f6dd5446223fefbc4f3d551) 파일은 "C:\Documents and Settings\(사용자 계정)\Application Data\utilpds" 폴더 내에 "pds launcher control 2.1" 프로그램을 설치하며, Favorst.exe(MD5 : fdb9ed961429243f907ce977ec18e517) 파일은 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\InfoSeven_wind_s.exe" 파일로 자가 복제한 후, "C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil" 폴더에 "windows pds update 1.1" 프로그램을 설치하도록 구성되어 있습니다.

[생성 폴더 / 파일 등록 정보]

■ pds launcher control 2.1 프로그램

C:\Documents and Settings\(사용자 계정)\Application Data\utilpds :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\pds2cnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\uninst.exe :: pds launcher control 2.1 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilpds.exe :: Windows 종료 매니저 업데이트 실행창 생성 파일
C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilsvc.exe :: update utilpds 서비스 등록 파일

■ windows pds update 1.1 프로그램

C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil :: 숨김(H) 속성
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdscnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutil.exe :: Windows 종료 매니저 업데이트 실행창 생성 파일
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutilsvc.exe :: pdsutil mgr 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\uninst.exe :: windows pds update 1.1 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\InfoSeven_wind_s.exe :: windows pds update 1.1 프로그램 설치 파일

해당 프로그램이 설치된 환경에서 "pds launcher control 2.1" 프로그램은 Windows 시작시 서비스로 등록된 "update utilpds" 항목은 "C:\Documents and Settings\(사용자 계정)\Application Data\utilpds\utilsvc.exe" 파일을 자동 실행하여 다음과 같은 업데이트 창을 생성합니다.

"Windows 종료 매니저 업데이트" 창으로 표시된 내용을 살펴보면 "이 컴퓨터에 대한 Windows 종료 매니저 권장 프로그램이 있습니다."라는 문구가 포함되어 있는 것을 확인할 수 있으며, 앞서 언급한 것처럼 해당 프로그램은 윈도우 종료와 관련된 기능 자체가 존재하지 않는 것으로 보입니다.

해당 문구의 "Windows 종료 매니저 권장 프로그램" 부분을 클릭할 경우 네이버(Naver) 메인 페이지로 연결이 되고 있는 것을 확인할 수 있습니다.

"항목별 프로그램 목록 및 버전" 창에서는 현재 6개의 광고성 프로그램이 체크된 상태로 등록되어 있는 것을 확인할 수 있습니다.

  ▷ <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)

해당 프로그램(MD5 : bef16808da4adc252b549749874a9a2f)은 파일함(Fileham) 웹하드 회원 가입을 목적으로 제작된 검색 프로그램입니다.

  검색 도우미 : FineTop (2011.8.19)

해당 프로그램의 설치 파일(MD5 : 0e08ff2338eec9a6910c04e11a094da7)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 7/42) 진단명으로 유해 가능 프로그램으로 진단하고 있습니다.

  국내 악성코드 : maxclicks17 + ckobxomej.exe (2012.1.12)

해당 프로그램(MD5 : f44a21a3c46403f2faed472e1244832a)은 Internet Explorer 웹 브라우저 즐겨찾기와 바탕 화면에 G마켓, 11번가, 옥션 등 인터넷 쇼핑몰 바로가기 아이콘을 생성합니다.

  검색 도우미 : WallTab (2011.9.4)

해당 프로그램의 설치 파일(MD5 : d825eb2c28259fab5d0356fbfb19360f)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 6/42) 진단명으로 유해 가능 프로그램으로 진단하고 있습니다.

그 외에도 서치팩(SearchPack) 프로그램(MD5 : ba30c3a29262ac97a90d303c0527a4d1), sphelper 프로그램(MD5 : 5e629cec418448e04dd4a8efbb64affd)을 설치하여 광고 생성 등의 동작을 합니다.

만약 사용자가 "Windows 종료 매니저 업데이트" 창에서 제공하는 "나중에 하기" 버튼을 클릭할 경우 다음과 같은 문제의 확인창이 생성되는 것을 확인할 수 있습니다.

해당 확인창은 다른 일반적인 창과는 다르게 "예 / 아니오" 버튼의 위치가 변경되어 있으며, 제시되는 "업데이트가 남았습니다. 업데이트를 하시고 종료하겠습니까?"라는 문구에서 사용자들은 착각을 하여 창을 종료하기 위해 "예" 버튼을 클릭할 경우 체크된 광고 프로그램이 설치되는 동작으로 연결이 이루어집니다.

일반적으로 이런 창이 생성될 경우 습관적으로 창 종료를 위한 확인창으로 오해하여 무조건 "예" 버튼을 클릭할 수 있는 점을 노렸거나, 업데이트를 하시겠느냐는 질문에 "아니오" 버튼이 오른쪽에 위치한다는 습관을 이용하여 "예" 버튼을 오른쪽에 위치시켰을 수도 있었으리라 판단됩니다.(개인적으로 분석 과정에서 습관의 무서움을 버리지 못하고 "예" 버튼을 클릭하여 유포자의 의도대로 설치가 되었답니다. )

업데이트 창이 생성되어 다운로드가 이루어지는 네트워크 연결 정보를 살펴보면 "update.green****.kr" 서버에서 제휴(스폰서) 광고 프로그램을 체크하고, 파일 다운로드는 "update.paris*****.kr" 서버에서 받아오는 것을 확인할 수 있습니다.

또한 초기 설치시 함께 설치된 "windows pds update 1.1" 프로그램은 Windows 시작시 서비스로 등록된 "pdsutil mgr" 항목을 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\winpdsutil\pdsutilsvc.exe" 파일을 자동으로 실행하여 "pds launcher control 2.1" 프로그램과 동일하게 "Windows 종료 매니저 업데이트" 창을 생성하는 동작을 확인할 수 있습니다.

프로그램 삭제를 위해서는 제어판의 "pds launcher control 2.1", "windows pds update 1.1" 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\pdslnch
HKEY_CURRENT_USER\Software\utilpds
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pds2cnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\pdscnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pds launcher control
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows pds update
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PDSUTIL_MGR
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_UPDATE_UTILPDS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pdsutil mgr
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\update utilpds

또한 제휴(스폰서) 프로그램으로 설치된 프로그램은 제어판의 "파일함탐색기", "FineTop", "SearchPack Uninstall", "sphelper", "WallTab" 삭제 항목을 이용하여 삭제하실 수 있으며, 즐겨찾기와 바탕 화면에 생성된 인터넷 쇼핑몰 바로가기는 삭제 기능을 제공하지 않으므로 사용자가 수동으로 삭제해야 합니다.

해당 프로그램의 경우 비록 사용자 동의 과정을 통해 설치되는 것처럼 구성되어 있지만, 존재하지 않는 윈도우 종료 프로그램으로 위장하고 있다는 점과 동일한 기능의 프로그램을 2개로 나누어 설치하여 추가적인 광고 프로그램을 설치하려고 한다는 점에서 문제가 있습니다.

특히 "예 / 아니오" 버튼의 위치 변화는 사용자의 습관을 이용하여 실수를 통해 광고 프로그램이 설치되도록 한다는 점에서 주의가 요구됩니다.
  • 무의식적으로 누르는 것을 악용한 사례군요... 잘 보고 해야겠어요.. 주위에 교수님 컴을 보면 종종 광고가 엄청 많아지는 현상들이 잇더라구요.. 종종 지우기는 했던 프로그램인데..

  • 장원석 2012.02.01 11:55 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 많은 도움 되었습니다..^^

  • 감사합니다. 정말 많은 도움이 되었습니다.
    이렇게 분석하실 수 있다는게 놀랍습니다. ^^

  • laquid 2012.02.12 18:44 댓글주소 수정/삭제 댓글쓰기

    제어판에 목록이 안뜨는데 어떻하죠 ?

    • 제어판 목록에 없는 경우에는 생성 폴더, 파일, 레지스트리 정보를 참고하여 수동으로 하나씩 찾아서 삭제하는 방법 밖에는 없습니다.

      또는 각 프로그램의 폴더 내에 있는 삭제 파일(uninst.exe)을 수동으로 실행하여 프로그램을 삭제해 보시기 바랍니다.

  • 김정훈 2012.02.17 22:31 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 윈7에는 사용자>앱데이터>로밍에 있네요
    제어판에서 삭제를 하면 재부팅하라고 해서 재부팅을 몇번 했는지 몰라요ㅋㅋ
    덕분에 싹 다 지웠어요!!

  • 손정우 2012.02.21 10:11 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다 ^^ 짜증났었는데

    덕분에 삭제했습니다. 꾸벅 (_ _)

  • 장규만 2012.02.21 20:53 댓글주소 수정/삭제 댓글쓰기

    며칠전부터 여간 짜증나는게 아니었는데 다행히 딱 하나 뜬 님의 글에서 이렇게 말끔히 해결법을 제시해 주셔서 대단히 감사합니다. 요즘은 이런 식으로도 사람을 혼동시키는군요. 다시 한 번 편한 컴퓨터라고 해서 안이하게 대처하면 안된다는걸 배웠네요. 앞으로도 도움 많이 주시기 바랍니다.

  • 태권브이 2012.02.22 09:03 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.
    pds ***를 삭제하기 위해서 고생고생하다가
    우연히 이 곳으로 오게되었습니다.
    아직 해결되지 않는 부분이 있어서요
    궁금한 것 질문을 드리겠습니다.

    제휴(스폰서)프로그램(설치날짜 같은거 모두 삭제)은
    제어판에서 모두 삭제하였는데요.

    고수님의 글 내용 중에...
    "프로그램 삭제를 위해서는 제어판의 "pds launcher control 2.1", "windows
    pds update 1.1" 2개의 삭제 항목을 이용하여 삭제하실 수 있습니다."
    라고 써 있는데요...

    그런데 두 프로그램을 삭제하려면 "삭제하시려면 재부팅해야합니다. 지금 다시 시작하겠습니까?" 라는 문구만 뜹니다.
    그래서 "예"를 누르면 재부팅이 되는데요
    재부팅을 한 후에도 삭제를 하려면 역시 같은 문구만 계속 뜹니다.

    해결방법은 없는지요? ㅜ.ㅜ

    고수님의 답변을 부탁드리며 물러갑니다. 꾸벅~~

    • 그 부분에 대해서는 다른 경로를 통해 관련된 증상에 대해 알고 있습니다.

      저의 경우에는 테스트 당시에 해당 증상이 발생하지 않았지만, 아마 이들 프로그램이 삭제를 방해하거나 특정 조건에서 삭제를 하지 못하게 하는 것이 아닌가 의심됩니다.

      우선 안전모드에서 프로그램을 삭제해 보시기 바라며, 만약 제어판을 통한 삭제가 어려운 경우에는 생성 폴더(파일), 레지 정보를 참고하여 수동으로 제거하시기 바랍니다.

      그리고 이 프로그램이 윈도우 시작 후 일정 시간 메모리에 상주했던 것으로 기억하는데 삭제 전에 서비스가 완전히 종료되었는지 확인하시기 바랍니다.

  • 풀빛하늘 2012.05.04 21:42 댓글주소 수정/삭제 댓글쓰기

    지난 주부터 고생을 하던 문제를 '윈도우 종료 매니저' 문제를
    벌새 님 덕분에 깔끔하게 해결하게 됐네요.
    정말 나쁜 사람들 때문에 인터넷 사용이 싫어지고
    벌새 님처럼 좋은 분들 덕분에 인터넷 사용이 즐거워지는군요.
    복 많이 받으시기 바랍니다.^^