시스템 시작 후 업데이트 체크를 통해 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "Windows Explorer Lastpopup v1.11" 프로그램(MD5 : 5e7f185ab443074cc4cd1d086da4dc62)에 대해 살펴보도록 하겠습니다.
해당 프로그램은 공식 홈 페이지는 존재하지 않으며, 파일에 포함된 디지털 서명(JE communication)을 통해 악성코드 제거, 개인정보 보안, PC 최적화 등의 프로그램 배포 업체로 확인되고 있습니다.
C:\Program Files\lastpopup
C:\Program Files\lastpopup\lstspop.exe
C:\Program Files\lastpopup\lstspsp.exe
C:\Program Files\lastpopup\lstspsv.exe :: 서비스(lstspsv32) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\lastpopup\uninstall.exe :: 프로그램 삭제 파일
해당 프로그램은 "C:\Program Files\lastpopup" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작이 이루어집니다.
"lstspsv32(Windows Explorer Lastpopup v1.11)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\lastpopup\lstspsv.exe" 파일을 자동으로 실행합니다.
자동 실행된 서비스 파일(lstspsv.exe)은 2분이 경과하면 업데이트 서버로부터 정보를 체크하는 동작이 이루어지며, 만약 추가적인 제휴 프로그램이 등록되어 있는 경우 업데이트 창 생성을 통한 설치 유도 행위가 이루어질 것으로 추정됩니다.
프로그램 삭제를 위해서는 실행창에 [sc stop "lstspsv32"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.(※ Windows XP 운영 체제 기준)
프로그램 삭제는 제어판에 등록된 "Windows Explorer Lastpopup v1.11" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\lastpopup v1.11
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- lst = 20130422
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Explorer Lastpopup v1.11
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_LSTSPSV32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lstspsv32
"Windows Explorer Lastpopup v1.11" 프로그램 이름은 마치 Windows 관련 프로그램처럼 등록하여 최초 설치시에는 특별한 동작이 없이 조용하다가, 특정 시점에서 배포자의 의도에 따라 다양한 수익성 프로그램의 설치를 유도하는 방식으로 보입니다.
그러므로 원치 않는 프로그램의 설치 통로로 활용되는 위와 같은 프로그램으로 인해 피해를 입지 않도록 주의하시기 바랍니다.