시스템 시작시 업데이트 창을 생성하여 추가적인 수익성 프로그램을 배포할 목적으로 제작된 "IPP web controller + Win Manager Client" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 1319f17d68b817a674375f8057bbc82f)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.Agent.xwkf (VT : 20/47) 진단명으로 진단되고 있습니다.
프로그램이 설치되는 과정에서 특정 자료실 서버로부터 2개의 파일을 다운로드하여 "C:\DController" 폴더에 다음과 같은 파일들을 생성합니다.
C:\DController
C:\DController\DController6.exe :: 시작 프로그램(DController6.exe) 등록 파일 / IPP web controller 프로그램 삭제 파일
- MD5 : e17d8acec2083c4da9e394cfbef49084
- BitDefender : Trojan.GenericKD.1020548 (VT : 8/47)
C:\DController\DControllerManager4.exe :: 시작 프로그램(DControllerManager4.exe) 등록 파일 / Win Manager Client 프로그램 삭제 파일
- MD5 : e87acdf6b84f347ac01e122e5d8f38d2
- BitDefender : Trojan.GenericKD.1020549 (VT : 8/47)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- DController6.exe = C:\DController\DController6.exe
- DControllerManager4.exe = C:\DController\DControllerManager4.exe
생성된 파일들은 시작 프로그램으로 등록하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.
1. "C:\DController\DController6.exe" 시작 프로그램 파일
"C:\DController\DController6.exe" 파일은 특정 업데이트 서버에 접속하여 등록된 파일이 존재할 경우 업데이트 창을 생성하여 사용자의 부주의한 동의 과정을 거쳐 다수의 수익성 프로그램이 설치될 수 있도록 유도할 수 있습니다.
2. "C:\DController\DControllerManager4.exe" 시작 프로그램 파일
"C:\DController\DControllerManager4.exe" 파일은 시스템 시작시 자동 실행되어 특정 자료실 서버에서 정보를 체크하는 동작을 수행한 후 자동 종료되도록 구성되어 있습니다.
3. 프로그램 삭제 정보
이렇게 동일한 "C:\DController" 폴더에 생성된 파일들은 각각의 프로그램 이름으로 등록되어 있으며, 프로그램 삭제를 위해서는 다음과 같은 방식으로 진행하시기 바랍니다.
제어판에 등록된 "IPP web controller", "Win Manager Client" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\DController" 폴더를 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- DController6.exe = C:\DController\DController6.exe
- DControllerManager4.exe = C:\DController\DControllerManager4.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
DController
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
DControllerManager
해당 프로그램은 설치된 환경에서 배포자의 의도에 따라 특정 시점에서 업데이트 창 생성을 통해 사용자의 실수를 유발하여 다수의 수익성 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.