글자수 세기 프로그램을 이용하여 시스템 시작시 업데이트 기능을 통해 추가적인 수익성 프로그램의 설치를 유도하는 "Windows mapdsnum launcher" 프로그램에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : System count Lab (2012.3.25)
▷ 제휴(스폰서) 프로그램 : System count Library (2012.3.26)
▷ 제휴(스폰서) 프로그램 : System number dir (2012.4.20)
▷ 제휴(스폰서) 프로그램 : System je word cnt (2012.4.20)
▷ 제휴(스폰서) 프로그램 : System wordJP launcher (2012.4.28)
▷ 제휴(스폰서) 프로그램 : Microclient update service x86 (2012.5.27)
▷ 제휴(스폰서) 프로그램 : System jp_tyword launcher (2012.5.27)
해당 프로그램과 유사한 기능을 하는 다양한 이름의 프로그램이 배포된 적이 있으므로 참고하시기 바랍니다.
해당 프로그램의 설치 파일(MD5 : 2da9b2c73582ef20154b94dc1eab14f2)을 이용하여 수동 설치를 진행할 경우, 그림과 같은 이용약관 창을 확인할 수 있으며 "윈도우 종료 매니저 프로그램"을 설치한다는 허위 내용을 포함하고 있습니다.
C:\Program Files\mapdsnum
C:\Program Files\mapdsnum\mapdscnt.exe
C:\Program Files\mapdsnum\mapdsmds.exe :: 시작 프로그램 등록 파일
C:\Program Files\mapdsnum\mapdsnum.exe :: 글자수 세기 프로그램 실행 파일
C:\Program Files\mapdsnum\uninst.exe :: 프로그램 삭제 파일
해당 프로그램은 "C:\Program Files\mapdsnum" 폴더에 파일을 생성하며, Windows 시작시 mapdsmds.exe 파일을 시작 프로그램으로 등록하여 특정 업데이트 서버로 연결하여 추가적인 다운로드 프로그램이 존재할 경우 업데이트 창 생성 등의 동작을 통해 설치를 유도합니다.
생성된 파일을 확인해보면 사용자가 수동으로 "C:\Program Files\mapdsnum\mapdsnum.exe" 파일을 실행한 경우에 글자수 세기 프로그램이 실행되는 것을 확인할 수 있습니다.
프로그램 삭제는 제어판의 "Windows mapdsnum launcher (remove only) ." 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 "C:\Program Files\mapdsnum\mapdscnt.exe" 파일을 실행하여 사용자 Mac Address 값을 체크하는 동작을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\mapdsnum
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- mapdsnum = C:\Program Files\mapdsnum\mapdsmds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\mapdsnum.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- mapdsnum = C:\Program Files\mapdsnum\mapdsmds.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows mapdsnum launcher (remove only)
해당 프로그램은 사용자에게 유용한 프로그램을 제공하는 것처럼 위장하여 실제로는 시스템 시작시마다 업데이트 체크를 통해 수익성 프로그램 설치창을 생성하여 사용자의 실수를 유발하도록 제작되어 있으므로 주의하시기 바랍니다.