본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Window SoftwareUpdate

728x90
반응형

시스템 시작시 "소프트웨어 업데이트(Software-Update)" 창을 생성하여 사용자의 부주의한 동의를 얻어 다수의 수익성 프로그램을 설치할 목적으로 배포되고 있는 "Window SoftwareUpdate" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7525c86c8f9e4ffc49e6a3340ec28aed)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.SoftwareUpdate.127000 (VT : 17/47) 진단명으로 진단되고 있습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  제휴(스폰서) 프로그램 : 마이크로서비스(Microservice) (2013.3.7)

 

  제휴(스폰서) 프로그램 : 업데이트 서비스(Update Service) (2013.3.27)

 

  제휴(스폰서) 프로그램 : Window System Service (2013.6.5)

 

  제휴(스폰서) 프로그램 : Window System Update (2013.6.6)

 

  제휴(스폰서) 프로그램 : Window Smart Update (2013.6.10)

 

  제휴(스폰서) 프로그램 : Window Live Service (2013.6.10)

 

업데이트 창 생성을 통한 수익성 프로그램 배포 목적으로 제작된 유사성이 강한 프로그램들이 다수 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\softwareupdate
C:\Program Files\softwareupdate\softwareupdate.exe :: 업데이트 창 생성 파일
C:\Program Files\softwareupdate\uninst_softwareupdate.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\softwareupdate-se.exe :: 서비스(softwareupdateservice) 등록 파일
C:\WINDOWS\system32\softwareupdateu.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\softwareupdate\softwareupdate.exe
 - MD5 : 8f3237d2c87f0f35eacbd11b03f47af3
 - AhnLab V3 : Win-PUP/Helper.SoftwareUpdate.120328 (VT : 11/47)

 

C:\WINDOWS\system32\softwareupdateu.exe
 - MD5 : dec23db682c6439c95142e6239a586c2
 - AhnLab V3 : Trojan/Win32.ADH (VT : 31/47)

해당 프로그램은 "C:\Program Files\softwareupdate" 폴더와 시스템 폴더(C:\WINDOWS\system32)에 관련 파일을 생성하며, 시스템 시작시마다 다음과 같은 동작을 수행합니다.

"softwareupdateservice(softwareupdate service)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\softwareupdate-se.exe" 파일을 자동 실행하며, 실행된 파일은 "C:\WINDOWS\system32\softwareupdateu.exe" 파일을 로딩하도록 구성되어 있습니다.

이를 통해 프로그램 버전 체크 및 제휴(스폰서) 프로그램이 등록되어 있는지 확인을 하며, 추가된 파일이 존재할 경우 "소프트웨어 업데이트(Software-Update)" 창을 생성하여 설치를 유도할 것으로 추정됩니다.

예상되는 업데이트 창에서는 "설치 구성요소 선택" 영역의 스크롤 바를 내릴 경우 숨어있는 다수의 제휴 프로그램들이 체크된 상태로 되어 있으며, 사용자가 제대로 확인하지 않고 "확인" 버튼을 클릭하거나 업데이트 창을 종료시 버튼 선택을 잘못할 경우 다수의 수익성 프로그램들이 백그라운드 방식으로 설치될 수 있습니다.

프로그램 삭제는 제어판에 등록된 "window softwareupdate" 삭제 항목을 이용하여 삭제할 수 있지만, 프로그램 삭제 이후에도 삭제되지 않는 서비스와 파일로 인하여 다음과 같은 문제가 유발될 수 있습니다.

제어판을 통한 프로그램 삭제 이후에도 등록된 "softwareupdateservice(softwareupdate service)" 서비스 항목과 관련 파일이 그대로 유지되어, 시스템 시작시 "C:\WINDOWS\system32\softwareupdate-se.exe""C:\WINDOWS\system32\softwareupdateu.exe" 파일이 자동으로 실행됩니다.

이를 통해 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크와 특정 서버에서 제휴 프로그램 정보를 체크하는 동작이 정상적으로 이루어질 수 있으며, 만약 등록된 제휴 프로그램이 존재할 경우 자동 다운로드가 이루어질 가능성이 존재합니다.

 

그러므로 제어판을 통해 "Window SoftwareUpdate" 프로그램을 삭제한 후에는 추가적으로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) 실행창에 [sc delete "softwareupdateservice"] 명령어를 입력 및 실행하여 서비스를 삭제하시기 바랍니다.

 

(2) 다음의 파일을 찾아 삭제하시기 바라며, 레지스트리 편집기(regedit)를 실행하여 생성된 값이 존재할 경우 삭제하시기 바랍니다.

 

  • C:\WINDOWS\system32\softwareupdate-se.exe
  • C:\WINDOWS\system32\softwareupdateu.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\softwareupdate
HKEY_LOCAL_MACHINE\SOFTWARE\softwareupdate
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SOFTWAREUPDATESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\softwareupdateservice

 

"Window SoftwareUpdate" 프로그램은 특정 시점에서 시스템 시작시 업데이트 창을 통해 원치 않는 다수의 수익성 프로그램의 설치를 유도하며, 프로그램 삭제 이후에도 핵심적인 기능이 여전히 동작하는 문제가 있으므로 주의하시기 바랍니다.

728x90
반응형