컴퓨터 알람 시계를 설치하여 윈도우 업데이트(Windows Update)와 유사한 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "Window Alarm" 프로그램(MD5 : 110a21e37223d832a5f61e60de8e4320)에 대해 살펴보도록 하겠습니다.
C:\Program Files\Window Alarm
C:\Program Files\Window Alarm\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Window Alarm\WinAlarm.exe :: 알람(Alarm) 프로그램 실행 파일
C:\Program Files\Window Alarm\WinAlarmUp.exe :: 시작 프로그램 등록 파일
해당 프로그램은 최초 "C:\Program Files\Window Alarm" 폴더에 파일을 생성하며, Windows 시작시 WinAlarmUp.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
설치된 PC 환경에서 사용자가 "C:\Program Files\Window Alarm\WinAlarm.exe" 파일을 직접 찾아 실행한 경우에만 컴퓨터 시계 프로그램이 실행되는 것을 확인할 수 있습니다.
프로그램이 설치된 이후 시스템 재부팅 과정에서 시작 프로그램으로 등록된 WinAlarmUp.exe 파일은 특정 업데이트 서버로부터 추가적인 파일(walarm_20120501.exe (MD5 : 0d69a102e09e95c061b115b9693429b1))을 다운로드하여 실행됩니다.
C:\Program Files\Window Alarm\cli.dat
C:\Program Files\Window Alarm\gdata.ini
C:\Program Files\Window Alarm\update.exe :: 시작 프로그램 등록 파일
다운로드된 walarm_20120501.exe 파일은 "C:\Program Files\Window Alarm" 폴더에 추가적인 파일을 생성하며, 기존에 등록된 시작 프로그램 파일(WinAlarmUp.exe)을 "C:\Program Files\Window Alarm\update.exe" 파일로 수정합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- walarm = "C:\Program Files\Window Alarm\WinAlarmUp.exe" /Set :: 변경 전- walarm = "C:\Program Files\Window Alarm\update.exe" /up :: 변경 후
이렇게 설치가 이루어진 이후 다시 시스템 재부팅 과정에서 시작 프로그램으로 등록된 update.exe 파일의 동작을 살펴보도록 하겠습니다.
update.exe 시작 프로그램 파일은 시스템 시작시 특정 업데이트 서버에서 업데이트 정보를 비롯한 추가적인 수익성 프로그램 정보를 받아와 "자동 업데이트" 창을 생성합니다.(※ 해당 업데이트 창은 매번 생성되지 않습니다.)
생성된 "자동 업데이트" 창은 마치 윈도우 업데이트(Windows Update) 창과 유사한 모양을 하고 있으며, 빠른 설치(권장), 사용자 정의 설치(고급) 방식으로 업데이트를 하도록 유도합니다.
(1) 빠른 설치(권장)
"빠른 설치"를 선택한 경우 다음 화면에서는 설치되는 프로그램 목록이 보이지 않게 하였으며(※ "업데이트 및 추가 구성 요소 확인" 문구를 클릭하면 "사용자 정의 설치" 형태로 변경됩니다.), 실제 설치가 이루어지지 않는 것으로 보이는 로또 프로그램을 업데이트한다는 메시지를 표시하고 있습니다.
(2) 사용자 정의 설치(고급)
"사용자 정의 설치" 방식으로 진행할 경우에는 "빠른 설치" 방식에서 기본값으로 노출되지 않던 "업데이트 및 추가 구성 요소 확인" 영역에 표시되어 다수의 수익성 프로그램 목록을 확인할 수 있습니다.
참고로 추가된 수익성 프로그램에 대한 간단한 정보는 다음과 같습니다.
■ 악성코드 제거 프로그램 : 백신스타(VaccineStar) (2012.11.4)
- h**p://down.***arm.co.kr/download/vaccinestar/VaccineStar_cnc_win.exe (MD5 : 8e701fc8f75d613c72858779764da6f6)
■ 개인정보 보안 솔루션 : 프로텍트탑(ProtectTop) (2012.11.10)
- h**p://down.***arm.co.kr/download/protecttop/ProtectTop_cnc_win.exe (MD5 : 20331b1afea952cf4680d24ebc9a2952)
■ 성인 웹게임 "폭풍성장" 바로가기 아이콘 생성
- h**p://down.***arm.co.kr/download/storm/storm_cnc_win.exe (MD5 : 4e51039a486bd81e897c18d869d83ac6)
"폭풍성장" 프로그램을 설치한 경우 바탕 화면에 성인 웹게임 "폭풍성장 무료체험" 바로가기 아이콘이 생성됩니다.
프로그램 설치시 "HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Uninstall\storm" 레지스트리 값 등록을 통해 제어판을 통한 삭제를 지원하는 것 같지만, 실제 등록되는 삭제 항목은 존재하지 않습니다.
■ 제휴(스폰서) 프로그램 : Window QRCode (2012.12.14)
- h**p://down.***arm.co.kr/download/qrcode/qrmaker_cnc.exe (MD5 : ba43ebfc3707ed209d888656decfb90d)
위와 같은 업데이트 창 생성으로 고생하시는 분들은 제어판의 "Window Alarm" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- walarm = "C:\Program Files\Window Alarm\update.exe" /up
HKEY_CURRENT_USER\Software\walarm
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\walarm
해당 프로그램은 기존의 "글자수 세기 프로그램"과 마찬가지로 유용한 프로그램을 제공하는 것처럼 설치 유도를 하여, 실제로는 윈도우 업데이트(Windows Update)와 유사한 업데이트 창을 생성하여 사용자의 실수를 유발하고 있으므로 주의하시기 바랍니다.