본문 바로가기

벌새::Analysis

검색 도우미 : xAllpopup SP1 (KB210313)

시스템 시작시 "AlldayPop" 광고창을 생성하며, 추가적인 업데이트 창을 통해 수익성 프로그램을 설치할 것으로 추정되는 검색 도우미 "xAllpopup SP1 (KB210313)" 프로그램(MD5 : 6c5c0451cc3c4b909339d395ae846e96)에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : Windows todayx86 (2012.11.29)

 

  국내 악성코드 : Windows ctpop (2013.2.19)

 

해당 프로그램은 기존에 유사성이 존재하는 프로그램들이 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\allpopup
C:\Program Files\allpopup\allpopsvi.exe :: 서비스(allpopup) 등록 파일
C:\Program Files\allpopup\allpopup.exe :: "AlldayPop" 광고창 생성 프로세스
C:\Program Files\allpopup\uninst.exe :: 프로그램 삭제 파일
C:\WINDOWS\alldaypop.ini

해당 프로그램은 "C:\Program Files\allpopup" 폴더에 파일을 생성하며, 설치 완료 후 시스템 재부팅 과정에서 첫 동작이 이루어집니다.

설치된 프로그램은 "allpopup(allpopup svc)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\allpopup\allpopsvi.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(allpopsvi.exe)은 allpopup.exe 파일을 로딩하여 "AlldayPop" 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 동작 과정에서 광고창 정보를 받아오는 특정 서버는 추가적인 수익성 프로그램이 등록될 경우 업데이트 창을 통해 설치를 유도할 가능성이 존재합니다.

그러므로 광고창 및 업데이트 창 생성 동작이 이루어진 경우에는 Windows 작업 관리자를 실행하여 allpopup.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "xAllpopup SP1 (KB210313)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\xAllpopup SP1 (KB210313)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ALLPOPUP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\allpopup

 

해당 프로그램의 이름이 Windows 보안 패치와 유사하게 등록되어 사용자에게 혼동을 주고 있으므로 주의하시기 바라며, 차후 업데이트 창 생성 동작이 있을 경우 함부로 클릭하여 원치 않는 프로그램들이 설치되지 않도록 하시기 바랍니다.