울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Toppilot

벌새::Analysis

시스템 시작시 자동 실행되어 추가적인 업데이트 체크를 하는 "Toppilot" 프로그램(MD5 : 3168386cd5128d4d97b8be49290fb53d)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Toppilot
C:\Program Files\Toppilot\Toppilot.exe :: 시작 프로그램 등록 파일
C:\Program Files\Toppilot\uninstall.exe :: 프로그램 삭제 파일


[생성 파일 진단 정보]

 

C:\Program Files\Toppilot\uninstall.exe
 - MD5 : d6b23450b409f68b85c3777b972c291c
 - AhnLab V3 : PUP/Win32.Enumerate (VirusTotal : 3/46)

해당 프로그램은 Windows 시작시 Toppilot.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

실행된 Toppilot.exe 파일은 특정 서버에서 광고 관련 업데이트 체크를 한 후 자동 종료되며, 그 외의 광고 동작은 존재하지 않습니다.

 

  검색 도우미 : Revealing Top Search (2013.1.29)

 

프로그램 출처를 확인해보면 기존의 "Revealing Top Search" 검색 도우미 프로그램과 연관성이 존재하며, 설치된 환경에서는 시스템 시작시 "C:\Program Files\revealing\revealingdc.exe" 파일을 통해 "Revealing Update" 창을 통한 추가적인 수익성 프로그램을 배포하는 부분이 존재하였습니다.

 

그러므로 Toppilot 프로그램도 차후 시스템 시작시 업데이트 창 생성을 통한 수익성 프로그램 설치 유도가 있을 가능성이 있습니다.

프로그램 삭제는 제어판의 "Toppilot" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\goglecape
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Toppilot = C:\Program Files\Toppilot\Toppilot.exe
HKEY_CURRENT_USER\Software\toppilot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Toppilot_uninstall

 

Toppilot 프로그램은 차후 원치 않는 업데이트 창을 통해 다수의 수익성 프로그램의 배포 통로로 이용될 가능성이 존재하므로 주의하시기 바랍니다.