시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램의 설치 유도 및 웹 브라우저 실행시 "자주 방문하는 사이트(secondpage.co.kr/site.html)"를 홈 페이지에 추가하는 "Windows seconpageSetup" 프로그램(MD5 : 1a0cb374036503c2b9690ca5ea604318)에 대해 살펴보도록 하겠습니다.
▷ 제휴(스폰서) 프로그램 : Windows SeStPageSetup (2013.7.2)
해당 프로그램은 유사한 기능을 가진 "Windows SeStPageSetup" 프로그램의 변종이므로 참고하시기 바랍니다.
C:\Program Files\seconpage
C:\Program Files\seconpage\cns.dat
C:\Program Files\seconpage\seconpage.exe :: 시작 프로그램 등록 파일, 업데이트 창 생성 파일
C:\Program Files\seconpage\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\seconpage\seconpage.exe
- MD5 : C:\Program Files\seconpage\seconpage.exe
- AhnLab V3 : Win-PUP/Helper.SecondPage.368640.B (VT : 3/47)
해당 프로그램은 "C:\Program Files\seconpage" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\seconpage\seconpage.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일(seconpage.exe)은 특정 서버에서 업데이트 정보 체크 및 실행 카운터(Counter) 체크를 수행하며, 만약 추가된 프로그램이 등록되어 있는 경우 다음과 같은 업데이트 창을 생성할 수 있습니다.
생성된 "정기 업데이트 설치" 창에서는 "정기 업데이트 권장 프로그램"이라는 이름으로 테스트 시점에서 총 12종의 수익성 프로그램이 설치될 수 있으며, 사용자가 좌측 상단의 "닫기(X)" 버튼을 클릭할 경우 사용자의 실수를 유발할 수 있는 문구가 포함되어 있습니다.
그러므로 "정기 업데이트 설치" 창이 생성되면 "닫기(X)" 버튼을 클릭하여 "아니오(N)" 버튼을 클릭하여 창을 종료하거나, Windows 작업 관리자를 실행하여 seconpage.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html
Windows seconpageSetup 프로그램이 설치된 환경에서는 홈 페이지 주소에 "secondpage.co.kr/site.html" 주소를 추가하는 동작이 이루어집니다.
이로 인하여 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 추가적인 탭을 생성하여 "자주 방문하는 사이트(secondpage.co.kr/site.html)"가 함께 열리도록 제작되어 있습니다.
Windows seconpageSetup 프로그램 삭제를 위해서는 제어판에 등록된 "Windows seconpageSetup (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- seconpage = C:\Program Files\seconpage\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows seconpageSetup (remove only)
■ "정기 업데이트 설치" 창을 통해 추가적으로 설치될 수 있는 수익성 프로그램 정보
시스템 시작시 특정 배포 시점에서는 "정기 업데이트 설치" 창이 생성되며 사용자가 부주의하게 "확인" 버튼을 클릭할 경우 다수의 수익성 프로그램 설치 파일이 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 폴더에 다운로드 및 실행되어 자동으로 설치됩니다.
(1) 검색 도우미 : TopTool (2013.5.23)
- h**p://dn.***setup.com/130701/TopTool__TT22.exe (MD5 : d7848ef778aaefe1afb329da2e714e3f) - Hauri ViRobot : Adware.TopTool.76296 (VT : 9/47)
- <추가 다운로드> h**p://file.util*.net/dst/TopTool_TT22.exe (MD5 : 7fdb846edf851d1cd48785ff16eb9234) - Hauri ViRobot : Adware.TopTool.343344 (VT : 22/47)
(2) 검색 도우미 : STool (2013.5.22)
- h**p://dn.***setup.com/130701/STool__SD22.exe (MD5 : d51e9cf4a9dc6dcb9014f81f94c89281) - Hauri ViRobot : Adware.Stool.76304.A (VT : 9/47)
- <추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD22.exe (MD5 : 309706ab210177db95a3d0d2d4f06c77) - nProtect : Trojan/W32.Agent.306768 (VT : 19/47)
(3) 검색 도우미 : InsideTool (2013.5.13)
- h**p://dn.***setup.com/130701/IETab__IE105.exe (MD5 : 16e4082a52e6dcb356234112688dced3) - Hauri ViRobot : Adware.InsideTool.76296 (VT : 9/47)
- <추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT145.exe (MD5 : 06e38f6bf0920986f9dfe71e2bce0eb9) - AhnLab V3 : PUP/Win32.InsideTool (VT : 19/47)
(4) 검색 도우미 : Windows Winerspop (2012.10.21)
- h**p://dn.***setup.com/130701/winspop_runpart.exe (MD5 : 7c38fe6316629cf5f5e819ca8fe864d3) - Dr.Web : Trojan.Adkor.31 (VT : 5/47)
해당 프로그램은 "C:\Program Files\Windows Winerspop 2.0" 폴더에 파일을 생성합니다.
(5) 검색 도우미 : Windows CloudGet (2013.4.13)
- h**p://dn.***setup.com/130701/cloudget_cg0001.exe (MD5 : 088055d047050cd3b0fbca6f3c27f0db) - Dr.Web : Trojan.Adkor.16 (VT : 1/47)
(6) 검색 도우미 : SignKey (2012.12.15)
- h**p://dn.***setup.com/130701/signkey.exe (MD5 : aaf85d925cb3f35282e63d990cec3e36) - MSE : Adware:Win32/Kraddare (VT : 34/47)
(7) 검색 도우미 : Micro theam secure softwear profile (2013.6.16)
- h**p://dn.***setup.com/130701/macon.exe (MD5 : 97d4b429935e0bb8f539e94b56211d81) - AhnLab V3 : PUP/Win32.KorAd (VT : 7/47)
(8) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)
- h**p://dn.***setup.com/130701/setup_tang.exe (MD5 : 16d65505bb59de55604f181718fe0d8b) - Dr.Web : Trojan.Adkor.31 (VT : 5/47)
(9) 개인정보 보안 솔루션 : 맥스보안(MaxBoan) (2013.7.2)
- h**p://down.***boan.com/maxboan_power.exe (MD5 : 0e5cb10e0d4c91f30122fe6b983a2b6e) - avast! : Win32:Adware-gen [Adw] (VT : 14/47)
(10) PC 최적화 프로그램 : 리얼패스터(RealFaster) (2013.7.3)
- h**p://down.re**fast**.com/realfaster_power.exe (MD5 : 00f4bae373cb4f13fe02956a87805250) - avast! : Win32:Adware-gen [Adw] (VT : 20/46)
(11) 악성코드 제거 프로그램 : 백신365(Vaccine365) (2013.5.2)
- h**p://dn.***setup.com/130701/Vaccine365_pang.exe (MD5 : 5ff0825f9259fb622f55751ea1489102) - AhnLab V3 : Trojan/Win32.FakeAV (VT : 13/47)
(12) 검색 도우미 : Windows ISM + Windows VOA (2013.5.8)
- h**p://dn.***setup.com/130701/Setup_voa_apples_apples02.exe (MD5 : ceb478edd4bdd4f408840beb5f760f1a)
위와 같은 불필요한 프로그램(PUP)들이 설치되었을 경우 원치 않는 광고창 생성 및 차후 추가적인 수익성 프로그램 설치 유도 등의 악순환이 반복될 수 있으므로 주의하시기 바랍니다.
☞ <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수
☞ <2013년 1~6월 관련 정보> 제휴(스폰서) 프로그램 : Windows pdswater (2013.6.12) 외 10종