본문 바로가기

벌새::Analysis

제휴 프로그램 : Window IP Checker

시스템 시작시 프로그램 업데이트 창을 생성하여 추가적인 제휴 프로그램의 설치를 유도할 수 있는 "Window IP Checker" 프로그램<MD5 : a09f5468124b4b4d39de9ca88b183e81 - Kaspersky : Trojan.Win32.Badur.fpmo (VT : 19/48)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 상반기 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

  제휴(스폰서) 프로그램 : Window Update Ware (2013.7.7)

 

해당 프로그램은 기존부터 제휴 프로그램을 설치할 목적으로 다양한 프로그램을 배포하고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ip-checker
C:\Program Files\ip-checker\ip-checker-se.exe :: 서비스(ip-checkerservice) 등록 파일
C:\Program Files\ip-checker\ip-checker.exe :: 프로그램 실행 파일
C:\Program Files\ip-checker\ip-checkeru.exe
C:\Program Files\ip-checker\uninst_ip-checker.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\ip-checker\ip-checker-se.exe
 - MD5 : cc0eb8f9a94cfef17fc6d0d85eec2662
 - nProtect : Adware/W32.Agent.161800 (VT : 10/48)

 

C:\Program Files\ip-checker\ip-checkeru.exe
 - MD5 : 5bd136c155366df0e899270d141f0b19
 - AhnLab V3 : PUP/Win32.NKsolution (VT : 19/48)

 

C:\Program Files\ip-checker\uninst_ip-checker.exe
 - MD5 : 7284b197dce4bf0cb918d73f625aa623
 - AhnLab V3 : Trojan/Win32.Fraudl (VT : 23/47)

해당 프로그램은 "C:\Program Files\ip-checker" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

"ip-checkerservice (표시 이름 : ip-checker service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\ip-checker\ip-checker-se.exe" 파일을 자동 실행하며, 이를 통해 "C:\Program Files\ip-checker\ip-checkeru.exe" 파일을 로딩하여 프로그램 및 제휴 프로그램 업데이트 체크를 수행합니다.

특히 특정 부팅 시점에서는 제휴 프로그램에 추가적인 정보가 등록되어 있을 경우, 그림과 같은 업데이트 창을 생성하여 사용자의 실수를 통한 다양한 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

원래 "Window IP Checker" 프로그램은 사용자가 "C:\Program Files\ip-checker\ip-checker.exe" 파일을 찾아 직접 실행한 경우에만 "아이피체커" 프로그램을 실행하여 IP 체크 및 시스템 최적화 기능을 제공합니다.

 

하지만 프로그램 설치가 이루어진 환경에서는 프로그램 실행을 위한 바로가기 아이콘(메뉴)가 생성되지 않으므로, 프로그램의 배포 목적은 제휴 프로그램 설치 목적으로 제작된 프로그램이라고 판단할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "window ip checker" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Program Files\ip-checker" 폴더를 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\ip-checker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ip-checker
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ip-checkerservice

 

"Window IP Checker" 프로그램은 유용한 기능을 제공하는 것처럼 홍보하여 설치가 이루어지지만 실질적인 목적은 특정 시점에서 업데이트 창 생성을 통해 부주의한 인터넷 사용자를 대상으로 다양한 제휴 프로그램을 설치하여 불편을 유발할 수 있으므로 주의하시기 바랍니다.