본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Window System Update

반응형

시스템 시작시 "시스템 업데이트(System-Update)" 창을 생성하여 사용자의 부주의한 동의를 거쳐 다수의 수익성 프로그램을 설치할 수 있는 "Window System Update" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 64e47ae08841fcc432bc720851efbce8)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.126480.A (VT : 12/47) 진단명으로 진단되고 있습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  제휴(스폰서) 프로그램 : 마이크로서비스(Microservice) (2013.3.7)

 

  제휴(스폰서) 프로그램 : 업데이트 서비스(Update Service) (2013.3.27)

 

  제휴(스폰서) 프로그램 : Window System Service (2013.6.5)

 

기존부터 수익성 프로그램 배포를 목적으로 유사한 기능을 가진 다양한 프로그램들이 확인되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\system-update
C:\Program Files\system-update\system-update-se.exe :: 서비스(system-updateservice) 등록 파일
C:\Program Files\system-update\system-update.exe :: 업데이트 창 생성 파일
C:\Program Files\system-update\system-updateu.exe
C:\Program Files\system-update\uninst_system-update.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\system-update\system-update-se.exe
 - MD5 : 0384fc1090f9e47bcc11f6a3b671dff6
 - AhnLab V3 : PUP/Win32.Security (VT : 8/47)

 

C:\Program Files\system-update\system-updateu.exe
 - MD5 : d611462f595ab678af370c07bc7f4d1a
 - AhnLab V3 : PUP/Win32.Security (VT : 19/47)

 

C:\Program Files\system-update\uninst_system-update.exe
 - MD5 : 98f625130541e776f42663918eb75ff7
 - AhnLab V3 : PUP/Win32.Security (VT : 15/46)

해당 프로그램은 "C:\Program Files\system-update" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작이 이루어집니다.

"system-updateservice(system-update service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\system-update\system-update-se.exe" 파일을 자동 실행하며, 추가적으로 "C:\Program Files\system-update\system-updateu.exe" 파일 로딩을 통해 프로그램 버전 체크를 하도록 구성되어 있습니다.

그 후 "C:\Program Files\system-update\system-update.exe" 파일을 로딩하여 특정 서버에 추가적인 제휴(스폰서) 프로그램들이 등록되어 있는 경우 "시스템 업데이트(System-Update)" 창을 생성할 것으로 추정됩니다.

생성된 업데이트 창에서 "필수 프로그램"은 체크 박스가 해제된 반면, 아래에 숨겨진 "제휴 프로그램"은 체크가 된 상태로 사용자가 제대로 확인하지 않고 "확인" 버튼을 클릭할 경우 원치 않는 다수의 수익성 프로그램들이 자동 설치될 수 있으므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "window system update" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
system-update
HKEY_LOCAL_MACHINE\SOFTWARE\system-update
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SYSTEM-UPDATESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\system-updateservice

 

"Window System Update" 프로그램은 배포자의 의도에 따라 특정 시점에서 업데이트 창 생성을 통해 원치 않는 수익성 프로그램들을 설치하려는 배포 목적으로 제작된 프로그램이며, 업데이트 창이 생성된 경우에는 안내되는 문구를 제대로 확인하여 설치 취소를 하도록 하시기 바랍니다.

반응형