본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : windowtomgr

반응형

윈도우 자동 종료 매니저 프로그램으로 소개되어 업데이트 창 생성을 통해 추가적인 수익성 프로그램을 설치 유도하는 것으로 추정되는 windowtomgr 프로그램에 대해 살펴보도록 하겠습니다.

  제휴(스폰서) 프로그램 : pds launcher control 2.1 + windows pds update 1.1 (2012.1.31)

  제휴(스폰서) 프로그램 : Windows atshutdown mgrs (2012.3.4)

  제휴(스폰서) 프로그램 : Windows manager atshutdown 1.0 (2012.3.6)

  제휴(스폰서) 프로그램 : Windows update mgr autoshutdown (2012.3.9)

해당 프로그램은 최근 다양한 이름으로 발견되고 있는 윈도우 자동 종료 매니저 프로그램이 존재하므로 참고하시기 바랍니다.

실제 배포 과정에서는 설치시 해당 설치창이 제시되지 않을 것으로 추정됩니다.

해당 프로그램의 설치 파일(MD5 : b942453bf224ef13fb50b7e97428df6d)을 이용한 수동 설치에서는 그림과 같은 이용약관을 통해 "종료 매니저 프로그램"을 설치한다고 안내하고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\windowtomgr
C:\Program Files\windowtomgr\cntone.exe
C:\Program Files\windowtomgr\oneups.exe :: 시작 프로그램 등록 파일
C:\Program Files\windowtomgr\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\windowtomgr\winsmgr.exe :: 윈도우 자동 종료 매니저 프로그램 실행 파일

 

해당 프로그램은 "C:\Program Files\windowtomgr" 폴더에 파일을 생성하며, Windows 시작시 oneups.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 oneups.exe 파일은 특정 서버에 설치 PC의 Mac Address 정보를 전송하며, 추가적인 번들(Bundle) 프로그램이 존재할 경우 업데이트 창을 생성하여 설치를 유도할 것으로 보입니다.(※ 테스트 시점에서는 등록된 추가적인 프로그램이 확인되지 않고 있습니다.)

설치된 프로그램 폴더를 확인해보면 사용자가 "C:\Program Files\windowtomgr\winsmgr.exe" 파일을 수동으로 실행할 경우 "윈도우 자동 종료 매니저" 프로그램이 실행되는 것을 확인할 수 있으며, 이를 통해 해당 프로그램 자체는 종료 기능 제공보다는 시스템 시작시 추가적인 수익성 프로그램을 설치할 목적으로 배포가 이루어지고 있다고 판단됩니다.

프로그램 삭제는 제어판의 "windowtomgr ." 삭제 항목을 이용하여 삭제할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windowtomgr = C:\Program Files\windowtomgr\oneups.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\winsmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - windowtomgr = C:\Program Files\windowtomgr\oneups.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windowtomgr

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 이름 자체가 윈도우(Windows) 시스템 관련 프로그램으로 오해를 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형