시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램의 설치 유도 및 웹 브라우저 실행시 "자주 방문하는 사이트(secondpage.co.kr/site.html)"를 홈 페이지에 추가하는 "Windows seconpageSetup" 프로그램(MD5 : 1a0cb374036503c2b9690ca5ea604318)에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : Windows SeStPageSetup (2013.7.2)
해당 프로그램은 유사한 기능을 가진 "Windows SeStPageSetup" 프로그램의 변종이므로 참고하시기 바랍니다.
C:\Program Files\seconpage
C:\Program Files\seconpage\cns.dat
C:\Program Files\seconpage\seconpage.exe :: 시작 프로그램 등록 파일, 업데이트 창 생성 파일
C:\Program Files\seconpage\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\seconpage\seconpage.exe
- MD5 : C:\Program Files\seconpage\seconpage.exe
- AhnLab V3 : Win-PUP/Helper.SecondPage.368640.B (VT : 3/47)
해당 프로그램은 "C:\Program Files\seconpage" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\seconpage\seconpage.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일(seconpage.exe)은 특정 서버에서 업데이트 정보 체크 및 실행 카운터(Counter) 체크를 수행하며, 만약 추가된 프로그램이 등록되어 있는 경우 다음과 같은 업데이트 창을 생성할 수 있습니다.
생성된 "정기 업데이트 설치" 창에서는 "정기 업데이트 권장 프로그램"이라는 이름으로 테스트 시점에서 총 12종의 수익성 프로그램이 설치될 수 있으며, 사용자가 좌측 상단의 "닫기(X)" 버튼을 클릭할 경우 사용자의 실수를 유발할 수 있는 문구가 포함되어 있습니다.
그러므로 "정기 업데이트 설치" 창이 생성되면 "닫기(X)" 버튼을 클릭하여 "아니오(N)" 버튼을 클릭하여 창을 종료하거나, Windows 작업 관리자를 실행하여 seconpage.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html
Windows seconpageSetup 프로그램이 설치된 환경에서는 홈 페이지 주소에 "secondpage.co.kr/site.html" 주소를 추가하는 동작이 이루어집니다.
이로 인하여 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 추가적인 탭을 생성하여 "자주 방문하는 사이트(secondpage.co.kr/site.html)"가 함께 열리도록 제작되어 있습니다.
Windows seconpageSetup 프로그램 삭제를 위해서는 제어판에 등록된 "Windows seconpageSetup (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- seconpage = C:\Program Files\seconpage\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows seconpageSetup (remove only)
■ "정기 업데이트 설치" 창을 통해 추가적으로 설치될 수 있는 수익성 프로그램 정보
시스템 시작시 특정 배포 시점에서는 "정기 업데이트 설치" 창이 생성되며 사용자가 부주의하게 "확인" 버튼을 클릭할 경우 다수의 수익성 프로그램 설치 파일이 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 폴더에 다운로드 및 실행되어 자동으로 설치됩니다.
(1) 검색 도우미 : TopTool (2013.5.23)
- h**p://dn.***setup.com/130701/TopTool__TT22.exe (MD5 : d7848ef778aaefe1afb329da2e714e3f) - Hauri ViRobot : Adware.TopTool.76296 (VT : 9/47)
- <추가 다운로드> h**p://file.util*.net/dst/TopTool_TT22.exe (MD5 : 7fdb846edf851d1cd48785ff16eb9234) - Hauri ViRobot : Adware.TopTool.343344 (VT : 22/47)
(2) 검색 도우미 : STool (2013.5.22)
- h**p://dn.***setup.com/130701/STool__SD22.exe (MD5 : d51e9cf4a9dc6dcb9014f81f94c89281) - Hauri ViRobot : Adware.Stool.76304.A (VT : 9/47)
- <추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD22.exe (MD5 : 309706ab210177db95a3d0d2d4f06c77) - nProtect : Trojan/W32.Agent.306768 (VT : 19/47)
(3) 검색 도우미 : InsideTool (2013.5.13)
- h**p://dn.***setup.com/130701/IETab__IE105.exe (MD5 : 16e4082a52e6dcb356234112688dced3) - Hauri ViRobot : Adware.InsideTool.76296 (VT : 9/47)
- <추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT145.exe (MD5 : 06e38f6bf0920986f9dfe71e2bce0eb9) - AhnLab V3 : PUP/Win32.InsideTool (VT : 19/47)
(4) 검색 도우미 : Windows Winerspop (2012.10.21)
- h**p://dn.***setup.com/130701/winspop_runpart.exe (MD5 : 7c38fe6316629cf5f5e819ca8fe864d3) - Dr.Web : Trojan.Adkor.31 (VT : 5/47)
해당 프로그램은 "C:\Program Files\Windows Winerspop 2.0" 폴더에 파일을 생성합니다.
(5) 검색 도우미 : Windows CloudGet (2013.4.13)
- h**p://dn.***setup.com/130701/cloudget_cg0001.exe (MD5 : 088055d047050cd3b0fbca6f3c27f0db) - Dr.Web : Trojan.Adkor.16 (VT : 1/47)
(6) 검색 도우미 : SignKey (2012.12.15)
- h**p://dn.***setup.com/130701/signkey.exe (MD5 : aaf85d925cb3f35282e63d990cec3e36) - MSE : Adware:Win32/Kraddare (VT : 34/47)
(7) 검색 도우미 : Micro theam secure softwear profile (2013.6.16)
- h**p://dn.***setup.com/130701/macon.exe (MD5 : 97d4b429935e0bb8f539e94b56211d81) - AhnLab V3 : PUP/Win32.KorAd (VT : 7/47)
(8) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)
- h**p://dn.***setup.com/130701/setup_tang.exe (MD5 : 16d65505bb59de55604f181718fe0d8b) - Dr.Web : Trojan.Adkor.31 (VT : 5/47)
(9) 개인정보 보안 솔루션 : 맥스보안(MaxBoan) (2013.7.2)
- h**p://down.***boan.com/maxboan_power.exe (MD5 : 0e5cb10e0d4c91f30122fe6b983a2b6e) - avast! : Win32:Adware-gen [Adw] (VT : 14/47)
(10) PC 최적화 프로그램 : 리얼패스터(RealFaster) (2013.7.3)
- h**p://down.re**fast**.com/realfaster_power.exe (MD5 : 00f4bae373cb4f13fe02956a87805250) - avast! : Win32:Adware-gen [Adw] (VT : 20/46)
(11) 악성코드 제거 프로그램 : 백신365(Vaccine365) (2013.5.2)
- h**p://dn.***setup.com/130701/Vaccine365_pang.exe (MD5 : 5ff0825f9259fb622f55751ea1489102) - AhnLab V3 : Trojan/Win32.FakeAV (VT : 13/47)
(12) 검색 도우미 : Windows ISM + Windows VOA (2013.5.8)
- h**p://dn.***setup.com/130701/Setup_voa_apples_apples02.exe (MD5 : ceb478edd4bdd4f408840beb5f760f1a)
위와 같은 불필요한 프로그램(PUP)들이 설치되었을 경우 원치 않는 광고창 생성 및 차후 추가적인 수익성 프로그램 설치 유도 등의 악순환이 반복될 수 있으므로 주의하시기 바랍니다.
☞ <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수
☞ <2013년 1~6월 관련 정보> 제휴(스폰서) 프로그램 : Windows pdswater (2013.6.12) 외 10종
블로그에서 많은 도움 받아갑니다ㅠㅠ 즐겨찾기 해놓고 문제 생길때마다 와서 확인하고 애드웨어들 삭제하는데에 도움 많이 받고 있어요! 언제나 감사합니다!
블로그에 관심 주셔서 감사합니다. 이런 프로그램이 설치되지 않도록 하여 블로그에 방문하지 않으면 더 좋습니다.^^