본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : UserStart

웹 브라우저 홈 페이지(시작 페이지)를 "이음코리아(IUMKOREA)"로 변경 및 홈 페이지 변경 자동 보호 기능을 제공하는 "UserStart" 프로그램(MD5 : 437d03b7fee4437861f3ecb72f441694)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\userstart
C:\Program Files\userstart\uninst_userstart.exe :: 프로그램 삭제 파일
C:\Program Files\userstart\userstart-se.exe :: 서비스(userstartservice) 등록 파일
C:\Program Files\userstart\userstart.exe :: 메모리 상주 프로세스
C:\Program Files\userstart\userstartu.exe

해당 프로그램은 "userstartservice" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\userstart\userstart-se.exe" 파일을 자동으로 실행합니다.

 

자동 실행된 서비스 파일(userstart-se.exe)은 userstartu.exe 파일을 로딩하여 프로그램 버전 체크를 하며 userstart.exe 파일을 실행하여 메모리에 상주하도록 구성되어 있습니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page =
www.iumkorea.com :: 변경 후

UserStart 프로그램이 설치된 환경에서는 사용자가 지정한 웹 브라우저 홈 페이지(시작 페이지)가 "이음코리아(IUMKOREA)"로 자동으로 변경이 이루어진 것을 확인할 수 있습니다.

이런 상태에서 사용자가 인터넷 옵션을 통해 홈 페이지(시작 페이지)를 원하는 사이트로 변경한 후, 웹 브라우저를 실행할 경우 "IUMKOREA 홈페이지 변경 알림" 창이 생성되어 보호하려는 동작을 확인할 수 있습니다.

해당 보호 동작은 메모리에 상주하는 userstart.exe 프로세스를 통해 구현되므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "userstart" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\userstart
  • C:\Program Files\userstart\userstart-se.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
 - Start Page = www.iumkorea.com :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - userstart_iumse = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - umkra = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\userstart
HKEY_LOCAL_MACHINE\SOFTWARE\userstart
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_USERSTARTSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\userstartservice

또한 프로그램 삭제 이후에는 인터넷 옵션을 실행하여 홈 페이지에 등록된 "이음코리아(IUMKOREA)" URL 주소를 사용자가 원하시는 주소로 변경하시기 바랍니다.