본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Windows zera

시작 프로그램 및 서비스 등록을 통해 시스템 시작시 자동 실행되어 수익성 프로그램을 체크하는 "Windows zera" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\zerowins :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zcnt.exe
C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zeroup.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zerowins.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zesvc.exe :: zeros SERVICE 서비스 등록 파일

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\zerowins" 폴더에 파일을 생성하고 있습니다. 

서비스에 "서비스 이름 : zero service, 표시 이름 : zeros SERVICE" 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zesvc.exe" 파일을 자동 실행하여 메모리에 상주하도록 제작되어 있습니다.

 

또한 "C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zeroup.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zerowins.exe" 2개의 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되어 다음과 같은 연결을 시도한 후 자동으로 종료됩니다.

 

(1) C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zeroup.exe 연결 정보 

자동 실행된 zeroup.exe 파일은 특정 업데이트 서버에 실행 PC의 Mac Address 값 체크 및 업데이트 체크를 통해 추가적인 수익성 프로그램이 등록되어 있는 경우 업데이트 창 생성 등을 통해 설치를 유도할 것으로 추정됩니다.

 

(2) C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zerowins.exe 연결 정보 

자동 실행된 zerowins.exe 파일은 특정 업데이트 서버에 접속하여 등록된 웹 사이트 관련 팝업창 생성 동작이 있을 것으로 보이며, 현재는 기본값으로 네이버(Naver)가 등록된 상태이지만 팝업창 생성 등의 광고 동작은 확인되지 않고 있습니다. 

   제휴(스폰서) 프로그램 : Wemake Zoneclick Uninstall Client (2012.5.16)

 

  제휴(스폰서) 프로그램 : Wemake Zoneclick Uninstall Client - aptsvc.exe (2012.5.23)

 

Windows zera 프로그램을 통해 생성된 파일을 확인해보면 기존에 "Wemake Zoneclick Uninstall Client" 프로그램과 유사한 점을 확인할 수 있습니다. 

프로그램 삭제를 위해서는 우선적으로 서비스를 통해 자동 실행되어 메모리에 상주하는 zesvc.exe 프로세스를 종료하기 위해 실행창에 [sc stop "zero service"] 명령어를 입력하여 서비스를 중지하시기 바랍니다. 

그 후 제어판의 "Windows zera(remove only)  ." 삭제 항목을 이용하여 프로그램을 삭제할 수 있습으며, 프로그램 삭제 중 "C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zcnt.exe" 파일을 통해 사용자 Mac Address 값 체크를 통한 설치 및 삭제 관련 카운터(Counter) 기능을 수행합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - securi = C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zeroup.exe
 - securis = C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zerowins.exe
HKEY_CURRENT_USER\Software\zerowins
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\cnteenpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - securi = C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zeroup.exe
 - securis = C:\Documents and Settings\(사용자 계정)\Application Data\zerowins\zerowins.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows zera(remove only)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ZERO_
SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zero service

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 시스템 시작시 원치 않는 다양한 프로그램의 설치를 목적으로 한 업데이트 창이 생성될 수 있으므로 주의하시기 바랍니다.