▷ 제휴(스폰서) 프로그램 : Windows atshutdown mgrs (2012.3.4)
해당 프로그램은 기존의 윈도우 종료 매니저 "Windows atshutdown mgrs" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
실제 배포 과정에서는 설치시 해당 설치창이 보이지 않을 것으로 추정됩니다.
C:\Program Files\WindowtoJemd
C:\Program Files\WindowtoJemd\areje.exe
C:\Program Files\WindowtoJemd\jedong.exe :: 시작 프로그램 등록 파일
C:\Program Files\WindowtoJemd\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\WindowtoJemd\winatJe.exe :: 윈도우 자동 종료 매니저 실행 파일
우선 "Windows manager atshutdown 1.0" 프로그램이 설치된 환경에서는 "C:\Program Files\WindowtoJemd" 폴더에 파일을 생성하며, Windows 시작시 jedong.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
그러므로 해당 프로그램의 실제적인 배포 목적은 광고성 프로그램의 배포 목적이라고 볼 수 있습니다.
이유는 삭제시 "C:\Program Files\WindowtoJemd\areje.exe" 프로세스를 생성하여 메모리에 상주시키는 동작이 함께 이루어지는 과정에서 제어판이 얼어버리므로 다음과 같은 방식으로 문제를 해결하시기 바랍니다.
- C:\Program Files\WindowtoJemd
- C:\Program Files\WindowtoJemd\areje.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WindowtoJemd = C:\Program Files\WindowtoJemd\jedong.exe
HKEY_CURRENT_USER\Software\winuplaje
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\winatJe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WindowtoJemd = C:\Program Files\WindowtoJemd\jedong.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows manager atshutdown 1.0
이제 "어플리케이션 관리자" 창에 등록되어 추가적으로 설치가 될 수 있는 광고성 프로그램에 대해 간단하게 살펴보도록 하겠습니다.
(1) Windows update mgr autoshutdown & system xn control
해당 "Windows update mgr autoshutdown" 프로그램(MD5 : dcc2f025f69ae11283b6fedbde49614e)은 "Windows atshutdown mgrs, Windows manager atshutdown 1.0" 프로그램과 마찬가지로 윈도우 자동 종료 매니저 프로그램으로 설치가 이루어지며, 설치 과정에서 사용자 몰래 비슷한 기능을 하는 것으로 추정되는 "system xn control" 프로그램을 추가로 설치하는 것을 확인할 수 있습니다.
- Windows update mgr autoshutdown (MD5 : 6a05ed83c0515c6f732541dd5c930b5c) - C:\Program Files\jestywinat
- system xn control (MD5 : b15ba7588e3f593314bd5bc8de84f5ec) - C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64
(2) 모진캐치(MozinCatch)
▷ 제휴(스폰서) 프로그램 : 모던플러스(ModernPlus) - ModenKuc (2011.10.26)
해당 프로그램(MD5 : c300060bfafc0bb283352c13ae4d7d50)은 인터넷 검색시 포털 사이트 검색 결과를 변조하는 모던플러스(ModernPlus) 시리즈 프로그램으로 일부 환경에서는 설치가 이루어지지 않을 수 있으며, 테스트에서는 설치되지 않았지만 제어판에서 "MozinCatch" 삭제 항목이 존재할 경우 삭제를 하시기 바랍니다.
(3) 검색 도우미 : FineTop (2011.8.19)
해당 프로그램의 설치 파일(MD5 : 0e08ff2338eec9a6910c04e11a094da7)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 15/42) 진단명으로 진단되고 있습니다.
(4) 검색 도우미 : 위즈서치(WizSearch) - WizSearch Class (2011.4.6)
해당 프로그램의 설치 파일(MD5 : e5fbc574d14d29636c54d87fa6a30055)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.66152 (VirusTotal : 20/43) 진단명으로 진단되고 있습니다.
(5) 검색 도우미 : WallTab (2011.9.4)
- h**p://update.*****world.kr/120220/***gagr/WallTab__WT107.exe (MD5 : d825eb2c28259fab5d0356fbfb19360f) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 14/42)
- h**p://update.*****world.kr/120220/***gagr/WallTab__WT12.exe (MD5 : 65b3365ff420b012cab22218f80a1805) - AhnLab V3 : PUP/Win32.NBiz (VirusTotal : 14/42)
(6) <Right Security Blog> 제휴(스폰서) 프로그램 : 파일함 탐색기 (2012.1.3)
해당 프로그램(MD5 : bef16808da4adc252b549749874a9a2f)은 파일함(FileHam) 웹하드 홍보 목적으로 제작된 콘텐츠 검색 프로그램으로, 시스템 시작시 자동 실행되어 불편을 유발할 수 있습니다.
(7) 검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)
해당 프로그램(MD5 : e5d2e5b2019242af9224ce1c49982067)은 인터넷 검색시 파란(Paran) 열린 주소창 검색(dns3.paran.com)창을 생성하는 광고 프로그램입니다.
이들 프로그램이 추가적으로 설치된 사용자는 제어판에 등록된 "파일함탐색기, Clicknsearch 1.00, FineTop, MozinCatch, system xn control ., WallTab, Windows update mgr autoshutdown ., WizSearch" 삭제 항목을 통해 프로그램을 삭제하시기 바랍니다.
해당 윈도우 종료 매니저 프로그램 시리즈는 설치된 PC에 이름은 다르지만 동일한 기능을 하는 윈도우 종료 매니저 프로그램을 추가적으로 설치하여 지속적인 광고 프로그램 설치창을 생성하는 동작이 예상되므로 주의하시기 바랍니다.