본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : System zerword program

반응형

업데이트를 통하여 수익성 프로그램을 추가적으로 설치할 목적으로 배포되던 이용되던 글자수 세기 프로그램이 "System zerword program" 이름으로 설치가 되고 있는 사례를 확인하였습니다.

 

이번 프로그램의 경우 배포자의 실수인지는 알 수 없지만 업데이트 기능이 제외된 형태로 배포되고 있는 것이 특징이므로 참고하시기 바랍니다.

 

  제휴(스폰서) 프로그램 : System count Lab (2012.3.25)

 

  제휴(스폰서) 프로그램 : System count Library (2012.3.26)

 

  제휴(스폰서) 프로그램 : System number dir (2012.4.20)

 

  제휴(스폰서) 프로그램 : System je word cnt (2012.4.20)

 

  제휴(스폰서) 프로그램 : System wordJP launcher (2012.4.28)

 

기존에 확인된 글자수 세기 프로그램을 이용한 배포와 관련된 다양한 프로그램은 링크 내용을 참고하시기 바랍니다. 

해당 설치창은 실제 배포 방식에서는 사용자에게 제시되지 않을 것으로 추정됩니다.

해당 프로그램의 설치 파일(MD5 : 77a75f8f6d14e5687e07de6fcffe05b9)을 이용하여 수동 설치를 할 경우, 그림과 같은 이용약관 창을 통하여 "wordcntii 프로그램"이 설치된다고 안내하고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\zerwordproa
C:\Program Files\zerwordproa\cnozca.exe
C:\Program Files\zerwordproa\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\zerwordproa\zerwordproa.exe :: 글자수 세기 프로그램 실행 파일

 

해당 프로그램은 "C:\Program Files\zerwordproa" 폴더에 파일을 생성하며, 설치 중 cnozca.exe 파일을 통해 설치 PC의 Mac Address 정보를 체크하도록 제작되어 있습니다. 

생성된 파일을 살펴보면 사용자가 "C:\Program Files\zerwordproa\zerwordproa.exe" 파일을 찾아 수동으로 실행할 경우에만 그림과 같은 글자수 세기 프로그램이 실행되는 것을 확인할 수 있습니다.

 

기존의 배포 프로그램에서는 추가적인 파일 추가를 통해 시작 프로그램에 자신을 등록하여 시스템 시작시마다 특정 업데이트 서버에 연결하여 번들(Bundle) 프로그램이 등록되어 있을 경우 업데이트 창 생성을 통해 사용자의 실수를 유발하여 다양한 광고성 프로그램을 설치하는 방식이었습니다.

 

하지만 이번 프로그램의 경우에는 제작 또는 배포상의 실수로 인하여 업데이트 체크 파일이 존재하지 않고 있습니다. 

프로그램 삭제는 제어판의 "System zerword program   ." 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서도 cnozca.exe 파일을 이용하여 삭제 PC의 Mac Address 정보를 체크하는 동작을 확인할 수 있습니다. 

참고로 설치와 삭제시 Mac Address 정보 체크는 기존과 마찬가지로 totallog.co.kr 서버에 전송되고 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

System zerword program

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 실제 글자수 세기 프로그램을 배포할 목적이었다면 zerwordproa.exe 파일을 바로 실행할 수 있는 바로가기 아이콘을 제공하는 것이 당연한데 그렇지 않다는 것은 업데이트 기능을 이용한 수익성 프로그램 배포가 주 목적인 프로그램이므로 주의하시기 바랍니다.

728x90
반응형