본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Windows SeStPageSetup

반응형

시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램 설치를 유도하는 "Windows SeStPageSetup" 프로그램(MD5 : cb245978b016da24fdabde2a6bb7936e)에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  <2013년 1~6월 관련 정보> 제휴(스폰서) 프로그램 : Windows pdswater (2013.6.12) 외 10종

 

기존에 유사한 방식으로 업데이트 창 생성을 통해 수익성 프로그램을 배포하던 변종 프로그램들이 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SeStPage
C:\Program Files\SeStPage\cns.dat
C:\Program Files\SeStPage\SeStPacnt.exe
C:\Program Files\SeStPage\SeStPage.exe :: 시작 프로그램 등록 파일
C:\Program Files\SeStPage\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Program Files\SeStPage" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\SeStPage\SeStPage.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일은 특정 서버에서 업데이트 정보 및 실행 카운터(Counter)를 체크하여 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 "정기 업데이트 설치" 창에서는 "정기 업데이트 권장 프로그램"이라는 이름으로 총 10종의 수익성 프로그램들의 설치를 유도하고 있으며, 만약 프로그램이 설치될 경우 다양한 광고창, 유료 결제, 추가적인 다운로드 유도 등의 활동이 이루어질 수 있습니다.

 

특히 사용자가 업데이트 창의 우측 상단에 있는 "닫기(X)" 버튼을 클릭할 경우 제시되는 문구를 통해 사용자의 실수를 유발하여 수익성 프로그램이 설치되도록 하였으므로 조심하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
www.secondpage.co.kr

또한 Windows SeStPageSetup 프로그램이 설치된 환경에서는 홈 페이지(시작 페이지)에 "h**p://www.secondpage.co.kr" 주소를 추가하는 동작을 확인할 수 있습니다.

이를 통해 사용자가 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 에스케이소프트뱅크(SKSoftBank) 업체에서 서비스하는 SecondPage 광고 페이지가 함께 생성되는 동작을 확인할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Windows SeStPageSetup (remove only)" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 "C:\Program Files\SeStPage\SeStPacnt.exe" 파일 실행을 통해 사용자 Mac Address 값을 기반으로 한 삭제 카운터(Counter) 정보를 전송합니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = www.secondpage.co.kr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SeStPage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SeStPage = C:\Program Files\SeStPage\SeStPage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows SeStPageSetup (remove only)

 

정기 업데이트 설치창을 통해 설치될 수 있는 수익성 프로그램 정보

 

(1) 검색 도우미 : TopTool (2013.5.23)

  • h**p://dn.***setup.com/130701/TopTool__TT22.exe (MD5 : d7848ef778aaefe1afb329da2e714e3f) - AhnLab V3 : PUP/Win32.NBiz (VT : 10/47)
  • <추가 다운로드> h**p://file.util*.net/dst/TopTool_TT22.exe (MD5 : 7fdb846edf851d1cd48785ff16eb9234) - AhnLab V3 : Win-PUP/Helper.TopTool.343344 (VT : 21/46)

(2) 검색 도우미 : STool (2013.5.22)

  • h**p://dn.***setup.com/130701/STool__SD22.exe (MD5 : d51e9cf4a9dc6dcb9014f81f94c89281) - AhnLab V3 : PUP/Win32.Helper (VT : 9/47)
  • <추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD22.exe (MD5 : 309706ab210177db95a3d0d2d4f06c77) - AhnLab V3 : PUP/Win32.Helper (VT : 18/47)

(3) 검색 도우미 : InsideTool (2013.5.13)

  • h**p://dn.***setup.com/130701/IETab__IE105.exe (MD5 : 16e4082a52e6dcb356234112688dced3) - AhnLab V3 : PUP/Win32.InsideTool (VT : 9/47)
  • <추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT145.exe (MD5 : 06e38f6bf0920986f9dfe71e2bce0eb9) - AhnLab V3 : PUP/Win32.InsideTool (VT : 17/47)

(4) 검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://dn.***setup.com/130701/winspop_runpart.exe (MD5 : 7c38fe6316629cf5f5e819ca8fe864d3)

(5) 검색 도우미 : Windows CloudGet (2013.4.13)

  • h**p://dn.***setup.com/130701/cloudget_cg0001.exe (MD5 : 088055d047050cd3b0fbca6f3c27f0db)

(6) 검색 도우미 : Micro theam secure softwear profile (2013.6.16)

  • h**p://dn.***setup.com/130701/macon.exe (MD5 : 97d4b429935e0bb8f539e94b56211d81) - AhnLab V3 : PUP/Win32.KorAd (VT : 3/47)

(7) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)

  • h**p://dn.***setup.com/130701/setup_tang.exe (MD5 : 16d65505bb59de55604f181718fe0d8b)

(8) 개인정보 보안 솔루션 : 맥스보안(MaxBoan) (2013.7.2)

  • h**p://down.***boan.com/maxboan_water.exe (MD5 : 620088b99724c6e9448c860e372def7e)

맥스보안(MaxBoan) 프로그램은 PC 사용 흔적 검사를 통해 유료 결제를 유도하는 프로그램입니다.

 

(9) PC 최적화 프로그램 : 리얼패스터(RealFaster) (2013.7.3)

  • h**p://down.****faster.com/realfaster_water.exe (MD5 : 2f7621a84095c101c5359f2218e75f1b)

리얼패스터(RealFaster) 프로그램은 PC 속도 향상 검사를 통해 유료 결제를 유도하는 프로그램으로 차후 정보를 공개할 예정입니다.

 

(10) 악성코드 제거 프로그램 : 백신365(Vaccine365) (2013.5.2)

  • h**p://dn.***setup.com/130701/Vaccine365_pang.exe (MD5 : 5ff0825f9259fb622f55751ea1489102) - Hauri ViRobot : Trojan.Win32.FakeAV.110664 (VT : 12/47)

위와 같은 대부분의 불필요한 프로그램(PUP) 프로그램들은 사용자의 잘못된 PC 사용 습관으로 인해 설치되는 경우가 많으므로 이런 프로그램이 설치된 사용자들은 원치 않는 프로그램들이 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형