제휴(스폰서) 프로그램 : System count Lab

이용약관에서는 윈도우 자동 종료 매니저 프로그램으로 표기하고 있지만 실제로는 글자수 세기 프로그램을 설치하면서 다양한 광고성 프로그램을 설치 시도하는 System count Lab 프로그램에 대해 살펴보도록 하겠습니다.

  ▷ 포털 사이트 광고를 통한 광고 프로그램 유포 사례 (2012.3.15)

참고로 해당 프로그램의 배포 방식은 기존의 분석 내용을 참고하시기 바랍니다.

실제 배포 과정에서는 해당 설치창은 제시되지 않은 상태로 설치가 이루어집니다.

설치 파일(MD5 : c7f89fa9dccd9a6f2a59428b3968fb9a)을 이용하여 실행을 할 경우에 제시되는 이용약관에서는 "윈도우 자동 종료 매니저 프로그램"으로 표시하고 있지만 실제 설치된 프로그램과는 일치하지 않는 잘못된 이용약관으로 보입니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Win Wordcounter pro
C:\Program Files\Win Wordcounter pro\cntjazt.exe
C:\Program Files\Win Wordcounter pro\jewordsvc.exe :: 시작 프로그램 등록 파일
C:\Program Files\Win Wordcounter pro\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Win Wordcounter pro\WordCounter.exe :: 글자수 세기 프로그램 실행 파일

해당 프로그램은 "C:\Program Files\Win Wordcounter pro" 폴더에 파일을 생성하며, Windows 시작시 jewordsvc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 jewordsvc.exe 파일은 특정 서버에 등록된 번들(Bundle) 프로그램이 존재할 경우 특정 업데이트 창을 생성하여 추가적인 다양한 광고성 프로그램을 설치하도록 유도할 것으로 추정됩니다.(※ 현재 테스트 시점에서는 등록된 추가적인 번들 프로그램은 확인되지 않고 있습니다.)

그 후 설치 PC의 Mac Address 정보를 체크하는 동작을 한 후 자동으로 종료되도록 구성되어 있습니다.

실제 프로그램이 설치된 폴더 내의 WordCounter.exe 파일을 사용자가 직접 실행할 경우 "글자수 세기 프로그램"이 실행되도록 제작되어 있으므로, "System count Lab" 프로그램의 실질적인 배포 목적은 시스템 시작시 업데이트 창 생성을 통한 광고성 프로그램을 설치할 목적이라고 볼 수 있습니다.

프로그램 삭제는 제어판의 "System count Lab  ." 삭제 항목을 이용하여 삭제할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Win Wordcounter pro = C:\Program Files\Win Wordcounter pro\jewordsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WordCounter.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Win Wordcounter pro = C:\Program Files\Win Wordcounter pro\jewordsvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
System count Lab

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 이름 자체가 윈도우(Windows) 관련 프로그램처럼 등록하여 사용자의 눈을 속이고 있으므로 주의하시기 바랍니다.