본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : Window Update Ware

728x90
반응형

시스템 시작시 "업데이트웨어(Update-Ware)" 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 수 있는 "Window Update Ware" 프로그램(MD5 : e67cd329d8cacedc470a99c8b3be985a)에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 1월~6월 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

해당 프로그램은 다양한 수익성 프로그램의 설치 목적으로 배포되는 유사성이 강한 변종 프로그램이 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\update-ware
C:\Program Files\update-ware\uninst_update-ware.exe :: 프로그램 삭제 파일
C:\Program Files\update-ware\update-ware-se.exe :: 서비스(update-wareservice) 등록 파일
C:\Program Files\update-ware\update-ware.exe :: 업데이트 창 생성 파일
C:\Program Files\update-ware\update-wareu.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\update-ware\update-wareu.exe
 - MD5 : 376b0886e0647653416b9e047955a4e0
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 7/47)

해당 프로그램은 "C:\Program Files\update-ware" 폴더에 파일을 생성하며, "update-wareservice(update-ware service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\update-ware\update-ware-se.exe" 파일을 자동 실행되도록 구성되어 있습니다.

자동 실행된 서비스 파일(update-ware-se.exe)은 "C:\Program Files\update-ware\update-wareu.exe" 파일을 로딩하여 다음(Daum) 서버에 쿼리 전송을 통한 네트워크 연결 체크 및 프로그램 버전을 확인합니다.

이후 "C:\Program Files\update-ware\update-ware.exe" 파일을 통해 업데이트 서버로부터 추가적인 수익성 프로그램 등록 여부를 체크하여 파일이 존재할 경우 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 업데이트 창에서는 스크롤바를 내릴 경우 다수의 수익성 프로그램들이 체크된 상태로 등록되어 있으며, 창을 종료시에도 사용자의 실수를 유발할 수 있는 문구를 통해 설치를 유도할 수 있으므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "window update ware" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\update-ware" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\update-ware
HKEY_LOCAL_MACHINE\SOFTWARE\update-ware
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\update-wareservice

 

해당 프로그램은 평소에는 업데이트 창 생성이 이루어지지 않지만, 특정 배포 시점에서 시스템 시작 과정에서 업데이트 창을 생성하여 사용자의 부주의한 실수를 통해 다수의 불필요한 프로그램(PUP)이 설치될 수 있으므로 주의하시기 바랍니다.

728x90
반응형