본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Wemake Zoneclick Uninstall Client

반응형

수익성 프로그램을 배포할 목적으로 의미없는 광고 파일을 추가하는 방식으로 전파가 이루어지고 있는 "Wemake Zoneclick Uninstall Client" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : ea83d23f085f228f0fde3024634db721)에 대하여 Hauri ViRobot 보안 제품에서는 Trojan.Win32.Adload.355371 (VirusTotal : 3/41) 진단명으로 진단되고 있습니다.

 

  제휴(스폰서) 프로그램 : wins automgr (2012.3.27)

 

  제휴(스폰서) 프로그램 : wins promgr (2012.4.3)

 

또한 해당 프로그램의 배포 방식과 유사성이 강한 배포 방식이 기존에도 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\apartpop :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\aparcnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\apartpop.exe
C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\appopsvc.exe :: apartpop SERVICE 서비스 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\appwordmds.exe
C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\uninst.exe :: 프로그램 삭제 파일

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\apartpop" 폴더에 파일을 생성하고 있습니다. 

프로그램은 서비스에 "apartpop SVC(apartpop SERVICE)" 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\appopsvc.exe" 파일을 자동으로 실행되도록 구성되어 있습니다. 

실행된 파일은 1분이 경과하는 시점에서 "C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\appwordmds.exe" 파일을 실행하여 특정 업데이트 서버에 접속하여 추가적인 프로그램이 등록되어 있을 경우 설치를 유도할 것으로 추정되며, 설치 PC의 Mac Address 값을 체크하는 동작을 합니다. 

생성된 파일 중 apartpop.exe 파일은 Internet Explorer 웹 브라우저 아이콘 모양을 하고 있으며, 파일 속성값을 확인해보면 확인되지 않은 wePOP 광고 프로그램의 부속 파일로 추정이 되고 있습니다.

GET /wemake/wemake.php?pcode=0 HTTP/1.1
Accept: */*
Accept-Language: ko
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR

3.5.30729; InfoPath.2)
Host: app.ezoneclick.com
Connection: Keep-Alive

실제 apartpop.exe 파일을 수동으로 실행해보면 특정 서버에 접속하여 광고 배너를 받아오는 동작을 확인할 수 있습니다.

 

하지만 apartpop.exe 파일은 "Wemake Zoneclick Uninstall Client" 프로그램 내에서는 사용자가 직접 파일을 실행하지 않는 이상 동작하지 않는 형식적인 파일입니다.

 

이는 마치 사용자에게 인터넷 이용 과정에서 유용한 정보를 제공하는 광고 프로그램처럼 구성하였지만 실제적인 기능은 추가적인 수익성 프로그램을 설치할 목적으로 제작되었다고 판단됩니다. 

프로그램 삭제는 제어판의 "Wemake Zoneclick Uninstall Client(remove only)  ." 삭제 항목을 이용하여 삭제할 수 있습니다.

 

또한 프로그램 삭제(설치)시에는 "C:\Documents and Settings\(사용자 계정)\Application Data\apartpop\aparcnt.exe" 파일을 통해 사용자 PC의 Mac Address 값을 체크하도록 되어 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\apartpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Wemake Zoneclick Uninstall Client(remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_APARTPOP_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\apartpop SVC

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 차후 배포자의 의도에 따라 추가적인 수익성 프로그램을 설치하기 위한 업데이트 창 생성 동작이 있을 수 있으므로 주의하시기 바랍니다.

반응형