울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 로또왕

벌새::Analysis

로또 번호 자동 생성 프로그램을 이용하여 프로그램 설치 및 업데이트 과정에서 추가적인 수익성 프로그램의 설치를 유도하는 로또왕 프로그램(MD5 : 4422ee8b7ce9bfa8d86696538a60a73f)에 대해 살펴보도록 하겠습니다.

 

  제휴(스폰서) 프로그램 : 도로명 검색(Doro-Search) (2013.3.25)

 

해당 프로그램과 유사성이 강한 프로그램이 다수 존재하는 것으로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\kinglotto
C:\Program Files\kinglotto\kinglotto.exe :: 프로그램 실행 파일
C:\Program Files\kinglotto\kinglottoUp.exe :: 시작 프로그램 등록 파일
C:\Program Files\kinglotto\partner.ini
C:\Program Files\kinglotto\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\kinglotto\updatelist.ini

해당 프로그램은 "C:\Program Files\kinglotto" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\kinglotto\kinglottoUp.exe" /lo] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 시작 프로그램 파일(kinglottoUp.exe)은 특정 서버에서 업데이트 정보를 체크하여 다음과 같은 설치창을 생성합니다.

사용자 입장에서는 프로그램 설치 또는 특정 시스템 시작시 생성되는 해당 설치창이 로또왕 프로그램 설치 단계로 잘못 판단하여 "빠른 설치(전체)"를 클릭할 경우 원치 않는 다수의 수익성 프로그램이 설치될 수 있습니다.(※ 해당 화면이 생성된 경우 이미 로또왕 프로그램 자체는 설치된 상태입니다.)

 

1. 로또왕 프로그램 기능

 

로또왕 프로그램이 설치된 환경에서는 프로그램 목록 또는 프로그램 실행 아이콘이 등록되지 않는 문제로 사용자가 직접 "C:\Program Files\kinglotto\kinglotto.exe" 파일을 찾아 실행한 경우에 다음과 같은 "로또왕 업데이트" 창이 생성됩니다.

사용자가 "설치" 버튼을 클릭할 경우 테스트 시점에서는 추가적인 업데이트는 존재하지 않으며 다음과 같은 프로그램이 실행됩니다.

실행된 "로또왕로또 V1.0" 프로그램은 로또 번호 자동 생성 프로그램으로 보이며, 사용자가 직접 파일을 찾아 실행해야 한다는 점에서 프로그램 배포 목적은 수익성 프로그램 설치 목적이라고 볼 수 있습니다.

 

2. 로또왕 프로그램 삭제 방법

프로그램 삭제는 제어판에 등록된 "로또왕" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\kinglotto
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - kinglotto = "C:\Program Files\kinglotto\kinglottoUp.exe" /lo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
kinglotto

 

3. 로또왕에 추가된 수익성 프로그램 정보

로또왕 프로그램 설치창의 "빠른 설치"가 아닌 "사용자 지정" 설치 버튼을 클릭하면 다수의 수익성 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

 

그 중에서 "Gmarket 바로가기" 구성 요소는 필수 설치 프로그램이며, 나머지 25종은 사용자가 체크 박스 해제를 하지 않을 경우 자동으로 설치될 수 있습니다.

다음의 내용은 추가적으로 설치될 수 있는 수익성 프로그램 중 일부 내용만 정리하였음을 밝힙니다.

 

(1) Gmarket 바로가기 (필수 프로그램)

  • h**p://down.von****ck.com/2010_update/gmarket/gmarket^2010.exe (MD5 : 5c27dd1ef5131e77a1f4c9d0877ba873)

해당 프로그램은 즐겨찾기와 명령 모음에 광고 코드(click.interich.com)가 추가된 G마켓 바로가기 아이콘을 등록하며, 제어판에서 "G마켓 바로가기 삭제" 항목을 이용하여 프로그램 삭제를 할 수 있습니다.(※ 프로그램 삭제 이후에도 즐겨찾기 등록된 G마켓 바로가기 아이콘이 존재하므로 사용자가 직접 찾아서 삭제하시기 바랍니다.)

 

(2) 악성코드 제거 프로그램 : 백신스타(VaccineStar) (2012.11.4)

  • h**p://down.vo****ick.com/2010_update/VaccineStar/VaccineStar^2010.exe (MD5 : 402a25694f469f540099e6c5cf2b4b8b) - MSE : Rogue:Win32/Vakcune (VT : 34/46)

(3) 개인정보 보안 솔루션 : 프로텍트탑(ProtectTop) (2012.11.10)

  • h**p://down.vo****ick.com/2010_update/ProtectTop/ProtectTop^2010.exe (MD5 : 9c999519f1c3e754a24795a11c8e8806) - Kaspersky : Trojan-FakeAV.Win32.Vaccine.af (VT : 35/46)

(4) 패치업 Plus(PatchUp Plus)

  • h**p://down.vo****ick.com/2010_update/PatchUp/PatchUp^2010.exe (MD5 : d7ef0c31b8eea6c306b3986727a3917f) - AhnLab V3 : Win-PUP/Security.PatchUpPlus.5819488 (VT : 21/45)

해당 프로그램은 Windows Update를 검색하여 설치되지 않은 보안 패치를 안내하는 유료 프로그램으로 알려져 있습니다.

 

(5) 제휴(스폰서) 프로그램 : Window SysCheck (2012.12.18)

  • h**p://down.vo****ick.com/2010_update/wsyscheck/wsyscheck^2010.exe (MD5 : c44b78c35815b5fc4efb01f71c4edb23)

(6) 인터넷 도우미 : EzEnjoy

  • h**p://down.vo****ick.com/2010_update/ezenjoy/ezenjoy^2010.exe (MD5 : cc28cff37b62499095e9cc62625f626e) - AhnLab V3 : Win-PUP/Helper.Ezenjoy.640373 (VT : 38/46)

해당 프로그램은 즐겨찾기에 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 추가적으로 업데이트 창 생성을 통해 수익성 프로그램의 설치를 유도합니다.

 

(7) 제휴(스폰서) 프로그램 : Window Alarm (2012.12.14)

  • h**p://down.vo****ick.com/2010_update/walarm/walarm^2010.exe (MD5 : 6c6d9e4f706998b04b992efc9bb9fa2b)

(8) 제휴(스폰서) 프로그램 : Window Fortune (2013.3.8)

  • h**p://down.vo****ick.com/2010_update/wfortunewfortune^2010.exe :: 다운로드 불가

(9) 아이엠공일공 바로가기

  • h**p://down.vo****ick.com/2010_update/iam010/iam010^2010.exe (MD5 : ba4a75854c261ec9b6016785820cf231) - Hauri ViRobot : Adware.Agent.42964.B (VT : 4/45)

해당 프로그램은 바탕 화면에 "최신휴대폰즉시개통" 바로가기 아이콘을 생성하는 프로그램입니다.

 

(10) 11번가 바콘

  • h**p://down.vo****ick.com/2010_update/11st/11st^2010.exe (MD5 : 96fc3ff07540eed5dcc76858e8cd7efd) - AhnLab V3 : Win-PUP/Shortcut.WindownWizard.210194 (VT : 6/46)

해당 프로그램은 바탕 화면에 광고 코드(click.interich.com)가 추가된 "11번가" 바로가기 아이콘을 생성하는 프로그램입니다.

 

(11) 검색 도우미 : WinPro (2012.3.21)

  • h**p://down.vo****ick.com/2010_update/winproutillbaksa/winproutillbaksa^2010.exe (MD5 : 99039279bb999be92beb1577e5e34a97) - AhnLab V3 : Win-PUP/Helper.WinPro.249586 (VT : 29/46)

(12) 검색 도우미 : UtilZone (2012.3.20)

  • h**p://down.vo****ick.com/2010_update/utilzoneutillbaksa/utilzoneutillbaksa^2010.exe (MD5 : f62e7342acdbe6a87735be9fc8ee9b58)

(13) 성인 웹게임 "폭풍성장" 바로가기 아이콘 생성 (2012.12.14)

  • h**p://down.vo****ick.com/2010_update/storm/storm^2010.exe (MD5 : 27c1a0b79a939394fc5cab67e20a0905)

해당 프로그램은 바탕 화면에 "폭풍성장 무료체험" 바로가기 아이콘을 생성하는 프로그램입니다.

 

(14) 검색 도우미 : Windows Everlive (2012.11.27)

  • h**p://down.vo****ick.com/2010_update/winver/winver^2010.exe (MD5 : 73571516e9e972a1da01a4ba872b81bc) - AhnLab V3 : Win-Trojan/Dropper.1886819 (VT : 12/46)

위와 같이 로또왕 프로그램 설치 또는 시스템 시작시 생성되는 설치창을 통해 다수의 수익성 프로그램을 사용자의 부주의한 동의 과정을 통해 설치할 수 있으며, 설치된 일부 프로그램은 정상적인 삭제 기능을 제공하지 않거나 유사한 방식으로 추가적인 수익성 프로그램의 설치를 유도하는 행위가 이루어질 수 있으므로 주의하시기 바랍니다.