본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Microclient update service x86

글자수 세기 프로그램을 설치하여 시스템 시작시 업데이트 기능을 통해 추가적인 수익성 프로그램의 설치를 유도하는 "Microclient update service x86" 프로그램에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : MicroClient x86 (2012.5.26)

 

해당 프로그램의 이름은 마치 마이크로소프트(Microsoft) 관련 프로그램으로 사용자를 혼동시킨다는 점에서 기존의 MicroClient x86 프로그램의 변형된 버전으로 추정됩니다.

 실제 배포 과정에서 해당 설치창은 제시되지 않을 것으로 추정됩니다.

해당 프로그램의 설치 파일(MD5 : 75ca53ef4d1fb8571ff990634d08c63d)을 이용하여 수동 설치를 진행할 경우에는 그림과 같은 이용약관 창을 통해 "문자열 세기 프로그램"을 설치한다고 안내하고 있습니다.

 

하지만 다수의 수익성 프로그램과 함께 설치되는 실제 배포 과정에서는 백그라운드 설치로 인하여 사용자는 어떤 프로그램 이름으로 설치되는지 제대로 인지하지 못할 가능성이 존재합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\mspoenum
C:\Program Files\mspoenum\cns.dat
C:\Program Files\mspoenum\cntmsp.exe
C:\Program Files\mspoenum\mspoemds.exe
C:\Program Files\mspoenum\mspoenum.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\mspoenum\mspoesvc.exe :: mspoenum SERVICE 서비스 등록 파일
C:\Program Files\mspoenum\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\mspoenum" 폴더에 파일을 생성하며, 서비스에 "서비스 이름 : mspoenum SVC, 표시 이름 : mspoenum SERVICE" 항목을 등록하여 시스템 시작시 "C:\Program Files\mspoenum\mspoesvc.exe" 파일을 자동으로 실행하도록 제작되어 있습니다. 

자동 실행된 mspoesvc.exe 서비스 파일은 "C:\Program Files\mspoenum\mspoemds.exe" 파일을 로딩하여 특정 업데이트 서버에 연결 및 사용자 Mac Address 값을 체크하도록 되어 있습니다.

 

이를 통해 업데이트 서버에 추가적인 수익성 프로그램이 등록되어 있는 경우 업데이트 창 생성 등의 동작을 통해 프로그램 설치를 유도하는 것으로 추정됩니다. 

생성된 파일을 확인해보면 사용자가 "C:\Program Files\mspoenum\mspoenum.exe" 파일을 직접 실행할 경우에만 "글자수 세기 프로그램"이 실행되는 동작을 확인할 수 있습니다.

 

  제휴(스폰서) 프로그램 : System count Lab (2012.3.25)

 

  제휴(스폰서) 프로그램 : System count Library (2012.3.26)

 

  제휴(스폰서) 프로그램 : System number dir (2012.4.20)

 

  제휴(스폰서) 프로그램 : System je word cnt (2012.4.20)

 

  제휴(스폰서) 프로그램 : System wordJP launcher (2012.4.28)

 

참고로 글자수 세기 프로그램을 이용하여 배포되는 방식은 기존부터 다양한 이름으로 확인되고 있으므로 참고하시기 바랍니다. 

프로그램 삭제는 제어판의 "Microclient update service x86 (remove only)  ." 삭제 항목을 이용하여 삭제할 수 있으며, 삭제시 "C:\Program Files\mspoenum\cntmsp.exe" 파일은 Mac Address 값을 전송하여 프로그램 설치 및 삭제 카운터(Counter) 체크를 합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mspoenum.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Microclient update service x86 (remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSPOENUM_
SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mspoenum SVC

해당 프로그램이 설치된 일부 환경에서는 시스템 시작시 mspoesvc.exe 오류창이 생성될 수 있으며, 프로그램 설치 폴더와 프로그램 이름이 다르게 등록되어 사용자가 확인하기 어려우므로 주의하시기 바랍니다.