본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Windows update mgr autoshutdown

반응형
윈도우 자동 종료 매니저 "Windows manager atshutdown 1.0" 프로그램을 통해 추가적으로 설치되는 동일한 기능을 가진 "Windows update mgr autoshutdown" 프로그램에 대해 살펴보도록 하겠습니다.

  제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)

"Windows manager atshutdown 1.0" 프로그램의 제휴(스폰서) 프로그램 방식으로 설치되는 파일(MD5 : dcc2f025f69ae11283b6fedbde49614e)을 통해 2개의 파일이 다운로드되어 설치가 된다고 이전에 소개를 하였습니다.

  • h**p://update.newzip.kr/120305/***jemo/spojeMDs.exe (MD5 : 98eede8cfccfa8ce0363cc528e8e15e9) : Windows update mgr autoshutdown 설치 파일
  • h**p://update.newzip.kr/120305/***jemo/2aMDs.exe : system xn control 설치 파일(현재 다운로드 차단)

현재 분석 시점에서는 "Windows update mgr autoshutdown" 프로그램의 설치 파일은 정상적으로 다운로드되어 설치가 이루어지는 반면, 당시 사용자 몰래 추가적으로 설치되는 "system xn control" 프로그램은 현재 다운로드가 중지되어 있는 것으로 확인되고 있습니다.

참고로 "system xn control" 프로그램은 윈도우 자동 종료 프로그램 기능을 가지지 않고, 시스템 시작시 추가적인 제휴(스폰서) 광고 프로그램을 설치할 목적으로 설치가 되었으리라 판단됩니다.

또한 만약 설치가 된 환경에서는 "C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64" 폴더에 파일이 생성되므로 프로그램 삭제시 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보 : Windows update mgr autoshutdown]

C:\Program Files\jestywinat
C:\Program Files\jestywinat\agejemd.exe
C:\Program Files\jestywinat\jestywinat.exe :: 윈도우 자동 종료 매니저 실행 파일
C:\Program Files\jestywinat\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\jestywinat\winjestmd.exe :: 시작 프로그램 등록 파일

[생성 파일 진단 정보]

C:\Program Files\jestywinat\agejemd.exe
 - MD5 : 8a9135d3a3d71c90642f050810c6d85e
 - AhnLab V3 : Win-PUP/Downloader.KorAd.24576 (VirusTotal : 4/43)

C:\Program Files\jestywinat\winjestmd.exe
 - MD5 : 9d370f468cc619624104b690c2e2b3bf
 - AhnLab V3 : Win-PUP/Downloader.KorAd.659456 (VirusTotal : 3/43)


"Windows update mgr autoshutdown" 프로그램은 "C:\Program Files\jestywinat" 폴더에 파일을 생성하며, Windows 시작시 winjestmd.exe 파일을 시작 프로그램으로 등록하여 설치된 PC의 Mac Address 정보 체크 및 업데이트 관련 창을 생성하여 추가적인 광고성 프로그램의 설치를 유도할 수 있습니다.

참고로 현재 시점에서는 시스템 시작시 추가적인 광고성 프로그램 설치를 위해 등록된 번들(Bundle) 프로그램이 존재하지 않는 것으로 확인되고 있습니다.

해당 프로그램은 설치시 안내되는 윈도우 종료 프로그램 기능의 경우 사용자가 "C:\Program Files\jestywinat\jestywinat.exe" 파일을 직접 실행을 해야지 그림과 같은 "윈도우 자동 종료 매니저" 실행창이 생성됩니다.

그러므로 프로그램 배포의 목적은 추가적인 광고 프로그램 설치를 위함으로 판단되므로 주의하시기 바랍니다.

프로그램 삭제시에는 제어판의 "Windows update mgr autoshutdown ." 삭제 항목을 이용하여 삭제할 수 있습니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - jestywinat = C:\Program Files\jestywinat\winjestmd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\jestywinat.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - jestywinat = C:\Program Files\jestywinat\winjestmd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows update mgr autoshutdown


만약 시스템 시작시 업데이트 창 생성을 통해 추가적인 프로그램을 설치하려는 시도가 있을 경우에는 닫기(X) 버튼을 클릭한 후 종료 메시지를 잘 읽어보시고 "예/아니오" 버튼을 클릭하시기 바라며, 이 과정에서 해당 프로그램 시리즈는 사용자의 실수를 유발하도록 하는 부분이 있으므로 주의하시기 바랍니다.

728x90
반응형