본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : System jp_tyword launcher

글자수 세기 프로그램을 이용하여 시스템 시작시 업데이트 기능을 통해 추가적인 수익성 프로그램의 설치를 유도하는 "System jp_tyword launcher" 프로그램에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : System wordJP launcher (2012.4.28)

 

해당 프로그램은 동일한 기능을 하는 System wordJP launcher 프로그램의 변형된 버전이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\utiltylaunc :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\utiltylaunc\wordJpsvc.exe :: tyword SERVICE 서비스 등록 파일
C:\Program Files\utiltylaunc
C:\Program Files\utiltylaunc\cnttyje.exe
C:\Program Files\utiltylaunc\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\utiltylaunc\wordJp.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\utiltylaunc\wordJpmds.exe
C:\srv.log

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\utiltylaunc" 폴더와 "C:\Program Files\utiltylaunc" 폴더로 분류하여 파일을 생성하고 있습니다.

 

이를 통해 서비스에 등록된 "서비스 이름 : tyword SVC, 표시 이름 : tyword SERVICE" 항목을 이용하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\utiltylaunc\wordJpsvc.exe" 파일을 자동으로 실행하도록 제작되어 있습니다.

 

테스트 환경에서는 자동 실행된 wordJpsvc.exe 서비스 파일이 추가적으로 "C:\Program Files\utiltylaunc\wordJpmds.exe" 파일을 로딩하여 업데이트 체크를 하지 못하는 것으로 보이지만, 정상적으로 동작한다고 가정을 할 경우 다음과 같은 연결을 시도합니다. 

로딩된 wordJpmds.exe 파일은 특정 업데이트 서버 연결을 통해 추가된 수익성 프로그램이 존재할 경우 업데이트 창 생성 등의 동작을 통해 설치를 유도할 것으로 보이며, 추가적으로 동작 PC의 Mac Address 값 체크를 하는 것을 확인할 수 있습니다. 

참고로 생성된 파일을 확인해보면 사용자가 "C:\Program Files\utiltylaunc\wordJp.exe" 파일을 직접 실행할 경우에만 "글자수 세기 프로그램"이 실행되는 동작을 확인할 수 있습니다.

 

  제휴(스폰서) 프로그램 : System count Lab (2012.3.25)

 

  제휴(스폰서) 프로그램 : System count Library (2012.3.26)

 

  제휴(스폰서) 프로그램 : System number dir (2012.4.20)

 

  제휴(스폰서) 프로그램 : System je word cnt (2012.4.20)

 

  제휴(스폰서) 프로그램 : Microclient update service x86 (2012.5.27)

 

글자수 세기 프로그램을 이용한 유사한 배포 방식은 다양한 이름의 프로그램을 통해 지속적으로 확인되고 있으므로 참고하시기 바랍니다. 

해당 프로그램은 시스템 시작시 서비스를 통해 자동 실행된 wordJpsvc.exe 프로세스가 메모리에 상주하므로, 프로그램 삭제시에는 실행창에 [sc stop "tyword SVC"] 명령어를 입력하여 서비스를 중지하시고 프로그램 삭제를 진행하시기 바랍니다. 

프로그램 삭제는 제어판의 "System jp_tyword launcher  ." 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 "C:\Program Files\utiltylaunc\cnttyje.exe" 파일은 설치(삭제)와 관련된 Mac Address 값을 체크하는 카운터(Counter) 기능을 수행합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\wordJp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
System jp_tyword launcher
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TYWORD_SVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tyword SVC

 

해당 프로그램은 프로그램 설치 폴더명과 프로그램 이름이 서로 달라 사용자가 프로그램 삭제에 어려움이 예상되며, 현재 시점에서는 업데이트 서버 체크 시간을 확인할 수 없지만 일정 시간이 경과한 시점에서 업데이트를 시도할 수 있으므로 주의하시기 바랍니다.