울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Window SysCheck

벌새::Analysis

시스템 정보 확인 프로그램을 이용하여 윈도우 업데이트(Windows Update)와 유사한 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "Window SysCheck" 프로그램(MD5 : d55a9e47ccf821a0f1f0075ad00ef9aa)에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : Window Alarm (2012.12.14)

 

해당 프로그램은 기존의 "Window Alarm" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Window SysCheck
C:\Program Files\Window SysCheck\SystemChkUp.exe :: 시작 프로그램 등록 파일
C:\Program Files\Window SysCheck\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Window SysCheck\WSystemInfo.dll
C:\Program Files\Window SysCheck\WSystemInfoApp.exe :: WSystemInfoApp 프로그램 실행 파일

해당 프로그램은 "C:\Program Files\Window SysCheck" 폴더에 파일을 생성하며, Windows 시작시 SystemChkUp.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

프로그램이 최초 설치된 환경에서 사용자가 "C:\Program Files\Window SysCheck\WSystemInfoApp.exe" 파일을 찾아 직접 실행한 경우에만 시스템 정보(CPU, Disk, IP)를 제공하는 WSystemInfoApp 프로그램이 실행되는 것을 확인할 수 있습니다.

프로그램 설치 이후 시스템 재부팅이 이루어지는 과정에서 자동 실행된 SystemChkUp.exe 파일은 특정 서버에서 추가적인 파일(wsyscheck_20120501.exe (MD5 : b8a0cf2409a2e53ed1108bedf0bd8476))을 다운로드하여 다음과 같은 파일을 생성합니다.

 

[추가 생성 파일 등록 정보]

 

C:\Program Files\Window SysCheck\cli.dat
C:\Program Files\Window SysCheck\gdata.ini
C:\Program Files\Window SysCheck\update.exe :: 시작 프로그램 등록 파일 / 자동 업데이트 창 생성 프로세스

추가 생성된 파일은 "C:\Program Files\Window SysCheck" 폴더에 생성되며, Windows 시작시 update.exe 파일을 시작 프로그램으로 추가하여 자동 실행되도록 구성되어 있습니다.

또 한 번의 시스템 재부팅을 통해 자동 실행되는 update.exe 파일은 특정 업데이트 서버로부터 정보를 받아와 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 "자동 업데이트" 창은 마이크로소프트(Microsoft) 업체에서 제공하는 윈도우 업데이트(Windows Update) 창과 유사하게 만들어졌으며, 빠른 설치(권장), 사용자 정의 설치(고급) 방식으로 설치가 이루어지도록 구성되어 있습니다.

 

(1) 빠른 설치(권장)

"빠른 설치" 방식으로 설치를 진행하면 로또 관련 프로그램을 업데이트한다는 허위 정보를 제공하고 있으며, 기본값으로 설치되는 프로그램에 대한 세부적인 정보를 볼 수 없도록 구성하고 있습니다.("업데이트 및 추가 구성 요소 확인" 문구를 클릭하면 "사용자 정의 설치" 형태로 변경됩니다.)

 

(2) 사용자 정의 설치(고급)

"사용자 정의 설치" 방식으로 설치를 진행하면 실제 사용자 PC에 설치되는 추가적인 수익성 프로그램에 대한 목록을 볼 수 있으며, 수익성 프로그램에 대한 세부적인 정보는 다음과 같습니다.

 

검색 도우미 : 키워드탭(KeywordTab) (2011.11.15)

  • h**p://down.****tune.co.kr/download/opentab/opentabfileeye2010.exe (MD5 : 1341bc1cbc3740217145ec9396787ea7)

악성코드 제거 프로그램 : 백신스타(VaccineStar) (2012.11.4)

  • h**p://down.****tune.co.kr/download/vaccinestar/VaccineStar_cnc_win.exe (MD5 : 8e701fc8f75d613c72858779764da6f6)

개인정보 보안 솔루션 : 프로텍트탑(ProtectTop) (2012.11.10)

  • h**p://down.****tune.co.kr/download/protecttop/ProtectTop_cnc_win.exe (MD5 : 20331b1afea952cf4680d24ebc9a2952)

검색 도우미 : 이지팝(EasyPop) (2012.6.17)

  • h**p://down.****tune.co.kr/download/easypop/easypop2010.exe (MD5 : 46b9bca3f2024475af7157d1d5af4713) - AhnLab V3 : Win-PUP/Helper.EasyPop.466366 (VirusTotal : 19/45)

검색 도우미 : Windows Everlive (2012.11.27)

  • h**p://down.****tune.co.kr/download/winever/winver2010.exe (MD5 : f6b22aa1b366b2c8dfe7ba8e87565278)

"자동 업데이트" 창 생성으로 불편이 있는 사용자는 제어판의 "Window SysCheck" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\desktopnote
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - wsyscheck = "C:\Program Files\Window SysCheck\SystemChkUp.exe" /Set

 - wsyscheckup = "C:\Program Files\Window SysCheck\update.exe" /up
HKEY_CURRENT_USER\Software\wsyscheck
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
wsyscheck

 

해당 프로그램은 기존의 "글자수 세기 프로그램"과 유사하게 유용한 프로그램을 제공하는 것처럼 설치를 유도하지만, 실제로는 업데이트 기능을 이용하여 추가적인 수익성 프로그램의 설치를 목적으로 하고 있으므로 주의하시기 바랍니다.