반응형
국내에서 제작되어 "개인정보 관리 윈도우 자동 종료 매니저 프로그램"으로 소개되어 설치가 이루어지는 system xn control 프로그램에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)
해당 프로그램은 기존에 소개된 윈도우 종료 매니저 프로그램 "Windows manager atshutdown 1.0"을 통해 추가적으로 설치되는 "Windows update mgr autoshutdown" 윈도우 종료 매니저 프로그램이 설치되는 과정에서 사용자 동의없이 설치되는 방식으로 배포가 이루어지고 있었습니다.
참고로 system xn control 프로그램의 경우에는 윈도우 자동 종료 기능이 존재하지 않으며 광고 프로그램을 설치할 목적으로 배포가 이루어지고 있습니다.
현재 테스트 시점에서 다운로드된 파일(MD5 : 1ccf6f1c5ac55475665d1eaad9e42c12)은 바탕 화면, 즐겨찾기, 명령 모음에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 "Win shopping icon guide" 프로그램을 설치하는 것으로 확인되고 있습니다.(※ 기존에 "Win shopping icon guide" 프로그램을 분석 당시와 비교하여 더 많은 바로가기 아이콘이 생성되며, 시스템 시작시마다 업데이트 기능이 존재하므로 차후 추가되는 바로가기 아이콘은 변경될 수 있습니다.)
참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.ILikeClick.150872 (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.
최근 윈도우 종료 매니저 기능을 제공한다는 형태로 유사한 프로그램이 대량으로 배포가 이루어지고 있으며, 설치시 심할 경우 10여종 이상의 광고 프로그램이 사용자 동의없이 설치되는 문제가 발생하고 있으므로 주의하시기 바랍니다.
▷ 제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)
해당 프로그램은 기존에 소개된 윈도우 종료 매니저 프로그램 "Windows manager atshutdown 1.0"을 통해 추가적으로 설치되는 "Windows update mgr autoshutdown" 윈도우 종료 매니저 프로그램이 설치되는 과정에서 사용자 동의없이 설치되는 방식으로 배포가 이루어지고 있었습니다.
참고로 system xn control 프로그램의 경우에는 윈도우 자동 종료 기능이 존재하지 않으며 광고 프로그램을 설치할 목적으로 배포가 이루어지고 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64 :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\xeno.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\xenoup.exe :: xeno64 update 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64 :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\xeno.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Xeno64\xenoup.exe :: xeno64 update 서비스 등록 파일
현재 테스트 시점에서 다운로드된 파일(MD5 : 1ccf6f1c5ac55475665d1eaad9e42c12)은 바탕 화면, 즐겨찾기, 명령 모음에 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 "Win shopping icon guide" 프로그램을 설치하는 것으로 확인되고 있습니다.(※ 기존에 "Win shopping icon guide" 프로그램을 분석 당시와 비교하여 더 많은 바로가기 아이콘이 생성되며, 시스템 시작시마다 업데이트 기능이 존재하므로 차후 추가되는 바로가기 아이콘은 변경될 수 있습니다.)
참고로 해당 파일에 대하여 Hauri ViRobot 보안 제품에서는 Adware.ILikeClick.150872 (VirusTotal : 23/43) 진단명으로 진단되고 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Xeno64
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\xenoup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\system xn control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XENO64_UPDATE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xeno64 update
HKEY_CURRENT_USER\Software\Xeno64
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\xenoup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\system xn control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_XENO64_UPDATE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xeno64 update
최근 윈도우 종료 매니저 기능을 제공한다는 형태로 유사한 프로그램이 대량으로 배포가 이루어지고 있으며, 설치시 심할 경우 10여종 이상의 광고 프로그램이 사용자 동의없이 설치되는 문제가 발생하고 있으므로 주의하시기 바랍니다.
728x90
반응형