제휴(스폰서) 프로그램 : Windows seconpageSetup

시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램의 설치 유도 및 웹 브라우저 실행시 "자주 방문하는 사이트(secondpage.co.kr/site.html)"를 홈 페이지에 추가하는 "Windows seconpageSetup" 프로그램(MD5 : 1a0cb374036503c2b9690ca5ea604318)에 대해 살펴보도록 하겠습니다.

▷ 제휴(스폰서) 프로그램 : Windows SeStPageSetup (2013.7.2)

해당 프로그램은 유사한 기능을 가진 "Windows SeStPageSetup" 프로그램의 변종이므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\seconpage
C:\Program Files\seconpage\cns.dat
C:\Program Files\seconpage\seconpage.exe :: 시작 프로그램 등록 파일, 업데이트 창 생성 파일
C:\Program Files\seconpage\uninst.exe :: 프로그램 삭제 파일

[생성 파일 진단 정보]

C:\Program Files\seconpage\seconpage.exe
- MD5 : C:\Program Files\seconpage\seconpage.exe
- AhnLab V3 : Win-PUP/Helper.SecondPage.368640.B (VT : 3/47)

해당 프로그램은 "C:\Program Files\seconpage" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\seconpage\seconpage.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(seconpage.exe)은 특정 서버에서 업데이트 정보 체크 및 실행 카운터(Counter) 체크를 수행하며, 만약 추가된 프로그램이 등록되어 있는 경우 다음과 같은 업데이트 창을 생성할 수 있습니다.

생성된 "정기 업데이트 설치" 창에서는 "정기 업데이트 권장 프로그램"이라는 이름으로 테스트 시점에서 총 12종의 수익성 프로그램이 설치될 수 있으며, 사용자가 좌측 상단의 "닫기(X)" 버튼을 클릭할 경우 사용자의 실수를 유발할 수 있는 문구가 포함되어 있습니다.

그러므로 "정기 업데이트 설치" 창이 생성되면 "닫기(X)" 버튼을 클릭하여 "아니오(N)" 버튼을 클릭하여 창을 종료하거나, Windows 작업 관리자를 실행하여 seconpage.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html

Windows seconpageSetup 프로그램이 설치된 환경에서는 홈 페이지 주소에 "secondpage.co.kr/site.html" 주소를 추가하는 동작이 이루어집니다.

이로 인하여 웹 브라우저를 실행할 경우 사용자가 지정한 홈 페이지 이외에 추가적인 탭을 생성하여 "자주 방문하는 사이트(secondpage.co.kr/site.html)"가 함께 열리도록 제작되어 있습니다.

Windows seconpageSetup 프로그램 삭제를 위해서는 제어판에 등록된 "Windows seconpageSetup (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Secondary Start Pages = secondpage.co.kr/site.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- seconpage = C:\Program Files\seconpage\seconpage.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows seconpageSetup (remove only)

■ "정기 업데이트 설치" 창을 통해 추가적으로 설치될 수 있는 수익성 프로그램 정보

시스템 시작시 특정 배포 시점에서는 "정기 업데이트 설치" 창이 생성되며 사용자가 부주의하게 "확인" 버튼을 클릭할 경우 다수의 수익성 프로그램 설치 파일이 "C:\Users\(사용자 계정)~1\AppData\Local\Temp" 폴더에 다운로드 및 실행되어 자동으로 설치됩니다.

(1) 검색 도우미 : TopTool (2013.5.23)

h**p://dn.***setup.com/130701/TopTool__TT22.exe (MD5 : d7848ef778aaefe1afb329da2e714e3f) - Hauri ViRobot : Adware.TopTool.76296 (VT : 9/47)
<추가 다운로드> h**p://file.util*.net/dst/TopTool_TT22.exe (MD5 : 7fdb846edf851d1cd48785ff16eb9234) - Hauri ViRobot : Adware.TopTool.343344 (VT : 22/47)

(2) 검색 도우미 : STool (2013.5.22)

h**p://dn.***setup.com/130701/STool__SD22.exe (MD5 : d51e9cf4a9dc6dcb9014f81f94c89281) - Hauri ViRobot : Adware.Stool.76304.A (VT : 9/47)
<추가 다운로드> h**p://file.win***.co.kr/dst/STool_SD22.exe (MD5 : 309706ab210177db95a3d0d2d4f06c77) - nProtect : Trojan/W32.Agent.306768 (VT : 19/47)

(3) 검색 도우미 : InsideTool (2013.5.13)

h**p://dn.***setup.com/130701/IETab__IE105.exe (MD5 : 16e4082a52e6dcb356234112688dced3) - Hauri ViRobot : Adware.InsideTool.76296 (VT : 9/47)
<추가 다운로드> h**p://file.**tab.co.kr/dst/InsideTool_IT145.exe (MD5 : 06e38f6bf0920986f9dfe71e2bce0eb9) - AhnLab V3 : PUP/Win32.InsideTool (VT : 19/47)

(4) 검색 도우미 : Windows Winerspop (2012.10.21)