울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Windows newtype admatbu x86

벌새::Analysis

윈도우즈 업데이트(Windows Update) 프로그램으로 사용자를 속여 특정 시점에서 시스템 시작 중 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "Windows newtype admatbu x86" 프로그램(MD5 : 77fd89d90ba2ed682a25cf90295a7db7)에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  제휴(스폰서) 프로그램 : Windows barocon (2013.1.8)

 

  제휴(스폰서) 프로그램 : Windows updatime (2013.1.19)

 

  제휴(스폰서) 프로그램 : Windows poezall (2013.1.22)

 

해당 프로그램은 2012년 전후부터 다양한 이름을 이용하여 수익성 프로그램의 설치를 시도하였던 것으로 보이므로 참고하시기 바랍니다.

"Windows newtype admatbu x86" 프로그램의 설치 파일을 기준으로 안랩 클라우드(AhnLab Cloud) 정보에서는 9,400대 수준에서 발견되고 있습니다.(※ 사용자 평판 꼴 하고는...)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\admatbu
C:\Program Files\admatbu\admatbu.exe :: 시작 프로그램 등록 파일
C:\Program Files\admatbu\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\atbumds.ini

해당 프로그램은 "C:\Program Files\admatbu" 폴더에 파일을 생성하며, Windows 시작시 admatbu.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 admatbu.exe 파일은 사용자 실행 정보를 체크하여, 특정 조건이 만족할 경우 업데이트 창을 생성하여 다수의 수익성 프로그램을 설치 유도합니다.

 

사용자 입장에서는 해당 업데이트 창 정보를 통해서는 어떤 프로그램으로 인한 문제인지 확인이 어려우며, 업데이트 창 종료를 위해서는 "X 업데이트" 문구의 "X" 영역을 마우스 클릭하여 생성되는 안내창의 문구를 잘 확인하시고 "아니오" 버튼을 클릭하시기 바랍니다.

프로그램 삭제는 제어판의 "Windows newtype admatbu x86" 삭제 항목을 이용하여 삭제할 수 있으며, 마이크로소프트 윈도우즈(Microsoft Windows) 관련 프로그램과 유사한 이름을 가지고 있으므로 게시자 정보(system co)를 통해 구분할 수도 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\admatbu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - admatbu = C:\Program Files\admatbu\admatbu.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows newtype admatbu x86

 

"Windows newtype admatbu x86" 프로그램을 통해 설치 유도되는 수익성 프로그램에 대한 정보는 다음과 같습니다.

(1) 윈도우즈 사용자 권장 업데이트

  • h**p://up.winer***.com/130212/uptime/setparb/Setup_admatbb.exe (MD5 : e681ee06fe5433b8db2d395b92f3b848)

해당 프로그램은 "Windows newtype admatbu x86" 프로그램과 동일한 기능을 통해 차후 특정 시점에서 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 수 있습니다.(※ 차후 프로그램의 기능에 대한 분석 정보를 공개하겠습니다.)

 

(2) 개인정보 보안 솔루션 : 보안플레이(BoanPlay) (2013.2.12)

  • h**p://down.boan****.com/boanplay_water.exe (MD5 : a78b70263d482f7bf9f50c9b923b1eb8)

(3) PC 최적화 프로그램 : 탑페스터(TopFaster) (2013.2.14)

  • h**p://down.***faster.com/topfaster_water.exe (MD5 : 117aed94dd8f229583eb2b56d2b21098)

(4) 악성코드 제거 프로그램 : 리미트백신(LimitVaccine) (2013.2.14)

  • h**p://up.winer***.com/130212/uptime/setparb/bundle/LimitVaccine_water.exe (MD5 : 8d95a615dfbedf5e8ff2942af4909fbf)

(5) 검색 도우미 : Windiscover V1.1.0.1 (2013.2.12)

  • h**p://up.winer***.com/130212/uptime/setparb/bundle/windiscover2.exe (MD5 : f771f9e820f2961078c075ed9b5ad0ad)

다수의 수익성 프로그램은 사용자의 동의 과정을 거쳐서 설치되는 방식이지만, 작은 영역에 사용자가 제대로 확인하기 어려운 형태로 구성하여 실수를 유발하는 설치 방식은 보안 제품의 진단 정책을 우회할 수 있습니다.

 

그러므로 사용자는 출처를 알 수 없는 신뢰할 수 없는 프로그램을 통해 설치 유도하는 경우에는 함부로 버튼을 클릭하지 않도록 매우 주의하시기 바랍니다.