국내에서 제작되어 시스템 시작시 "사용자 권장 업데이트" 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 것으로 추정되는 "Windows ctpop" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : eb16f0582964d0cfd2099b847a58f133)에 대하여 AhnLab V3 보안 제품에서는 Dropper/Win32.KorAd (VT : 7/46) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : Windows ctpop (2013.2.19)
우선 Windows ctpop 프로그램은 기존에 프로그램 배포와 관련된 부분에 대해 소개를 한 적이 있으며, 당시 분석글에서는 언급하지 않았지만 설치 당시 사용자 몰래 추가적인 다운로드(data.dat)를 통해 악성 파일(WindowsDrive.dll)을 등록하여 추가적인 악성 파일 다운로드 기능을 수행할 수 있습니다.(※ 과거 사례를 통해 유추해보면 온라인 게임 관련 정보 탈취를 목적으로 합니다.)
이번에 확인된 Windows ctpop 프로그램은 제작자는 동일한 것으로 추정되지만, 기존과는 다르게 나름대로 합법(
)적인 방식으로 전환되어 있습니다.
C:\Program Files\ctpop
C:\Program Files\ctpop\ctpop.exe :: 시작 프로그램 등록 파일
C:\Program Files\ctpop\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\ctpop\ctpop.exe
- MD5 : 7c0053c91d909a76eceee5fbd4fcc8c8
- AhnLab V3 : Win-PUP/Helper.Waomii.90112 (VT : 4/46)
해당 프로그램은 "C:\Program Files\ctpop" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\ctpop\ctpop.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.
자동 실행된 ctpop.exe 파일은 특정 IP 서버에서 업데이트 정보를 받아와, 등록된 프로그램이 존재할 경우 "사용자 권장 업데이트" 창을 생성하여 다수의 수익성 프로그램을 설치하도록 할 것으로 보입니다.
▷ 국내 악성코드 : Windows Waomiicontroller 1.1 (2013.4.7)
특히 해당 업데이트 서버와 파일을 확인해보면 기존의 유사한 기능을 가진 "Windows Waomiicontroller 1.1" 프로그램의 변형된 버전으로 확인되고 있습니다.
만약 시스템 시작 후 업데이트 창 생성을 통해 원치 않는 제휴 프로그램의 설치 유도 행위가 발견될 경우에는 Windows 작업 관리자를 실행하여 ctpop.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "windows ctpop" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\ctpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ctpop = C:\Program Files\ctpop\ctpop.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windows ctpop
"Windows ctpop" 프로그램은 특정 시점에서 업데이트 창 생성을 통해 사용자의 실수를 유발하여 원치 않는 다수의 수익성 프로그램들을 설치하는 배포 통로로 활용되므로 반드시 삭제하시기 바랍니다.