본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Windows newtype admatbb x86

기존에 소개한 "Windows newtype admatbu x86" 프로그램의 변종 프로그램으로, 시스템 시작시 출처를 알 수 없는 업데이트 창을 생성하여 "윈도우즈 사용자 권장 업데이트"라는 이름으로 설치가 이루어지는 "Windows newtype admatbb x86" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : e681ee06fe5433b8db2d395b92f3b848)은 2013년 2월 12일경부터 배포가 이루어지고 있으며, AhnLab V3 보안 제품에서는 Win-Dropper/KorAd.117160 (VirusTotal : 9/46) 진단명으로 진단되고 있습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  제휴(스폰서) 프로그램 : Windows barocon (2013.1.8)

 

  제휴(스폰서) 프로그램 : Windows updatime (2013.1.19)

 

  제휴(스폰서) 프로그램 : Windows poezall (2013.1.22)

 

  제휴(스폰서) 프로그램 : Windows newtype admatbu x86 (2013.2.18)

 

  제휴(스폰서) 프로그램 : Windows cobache x86 (2013.2.22)

 

또한 기존부터 다양한 이름으로 윈도우(Windows) 관련 프로그램처럼 사용자에게 혼동을 유발하고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\admatbb
C:\Program Files\admatbb\admatbb.exe :: 시작 프로그램 등록 파일
C:\Program Files\admatbb\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\atbbmds.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\admatbb\admatbb.exe
 - MD5 : f4d2848880e3001a7e0bcb7be61e4f15
 - avast! : Win32:Adware-AKX [PUP] (VirusTotal : 6/46)

"Windows newtype admatbb x86" 프로그램은 "C:\Program Files\admatbb" 폴더에 파일을 생성하며, Windows 시작시 admatbb.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

특히 프로그램 설치 완료 시점에서 실행된 admatbb.exe 파일은 업데이트 체크를 수행하지 않고 시스템 재부팅 과정에서 최초 업데이트 체크가 이루어지는 것이 특징입니다.

시스템 시작시 자동 실행된 admatbb.exe 파일은 사용자 Mac Address 값을 기반으로 한 실행 체크 및 특정 업데이트 서버에 수익성 프로그램이 등록되어 있는 경우 업데이트 창 생성을 통한 설치를 유도할 것으로 추정됩니다.(※ 현재 테스트 시점에서는 추가된 수익성 프로그램이 존재하지 않는 문제로 업데이트 창이 구현되지 않고 있습니다.)

프로그램 삭제는 제어판의 "Windows newtype admatbb x86" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\admatbb.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - admatbb = C:\Program Files\admatbb\admatbb.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows newtype admatbb x86

 

해당 프로그램은 특정 시점에서 다수의 수익성 프로그램이 추가된 업데이트 창을 생성하여 설치를 유도하는 방식으로 운영되며, 설치되는 프로그램 중에서는 또 다른 업데이트 기능을 가진 유사한 프로그램을 설치하여 수익성 프로그램의 배포 통로를 유지하고 있으므로 주의하시기 바랍니다.