울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : PowerOff Manager

벌새::Analysis

컴퓨터 종료 프로그램에 포함된 업데이트 기능을 통해 추가적인 제휴(스폰서) 프로그램의 설치를 유도하는 "PowerOff Manager" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\poweroff
C:\Program Files\poweroff\License.txt
C:\Program Files\poweroff\poweroff.exe :: 컴퓨터 종료 관리자 실행 파일
C:\Program Files\poweroff\poweroffmon.exe :: Power Off Service 서비스 등록 파일 / 메모리 상주 프로세스
C:\Program Files\poweroff\poweroffuc.exe :: 시작 프로그램 등록 파일
C:\Program Files\poweroff\uninstall.exe :: 프로그램 삭제 파일

 

해당 프로그램은 "C:\Program Files\poweroff" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\poweroff\poweroffuc.exe" 파일을 시작 프로그램으로 등록하여 업데이트를 체크하도록 구성되어 있습니다. 

이 과정에서 "프로그램 업데이트 이용 안내 및 설치 정보" 창이 자동으로 생성되어 추가적인 제휴(스폰서) 프로그램의 설치를 유도하도록 제작되어 있습니다.

 

  검색 도우미 : Enumerate Top Search - gt (2012.7.27)

 

테스트 시점에서는 웹 브라우저 상단에 광고바를 생성하는 "Enumerate Top Search" 검색 도우미 프로그램(MD5 : b3da6adec8ab0ab70720ab9aebb31843)이 추가되어 있습니다. 

"PowerOff Manager" 프로그램은 "monpoweroff(Power Off Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\poweroff\poweroffmon.exe" 파일을 자동으로 실행하여 사용자가 지정한 특정 시간에 컴퓨터를 종료하도록 예약할 수 있습니다. 

하지만 사용자가 예약 종료를 위해서는 "C:\Program Files\poweroff\poweroff.exe" 파일을 찾아 직접 실행해야 되므로, "PowerOff Manager" 프로그램의 실질적인 배포 목적은 업데이트 기능을 통한 수익성 프로그램 설치가 목적이라고 볼 수 있습니다. 

해당 프로그램은 메모리에 poweroffmon.exe 서비스 파일이 상주하므로, 프로그램 삭제시에는 실행창에 [sc stop "monpoweroff"] 명령어를 입력하여 서비스를 중지하시기 바랍니다. 

프로그램 삭제는 제어판의 "poweroff manager" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 문자를 입력하여 삭제를 진행하시기 바랍니다.

 

  제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16)

 

국내에서는 제작된 컴퓨터 예약 종료 프로그램 중에는 악성 파일이 추가되는 사례가 있으며, 이번과 같이 업데이트 기능을 통한 수익성 프로그램 설치 유도 행위가 있을 수 있으므로 주의하시기 바랍니다.