울지않는벌새 : Security, Movie & Society

제휴 프로그램 : Windows dtconaboutbaks

벌새::Analysis

Windows 시작시 업데이트 창 생성을 통해 광고 프로그램, 불량 백신 등 불필요한 프로그램(PUP)의 설치를 유도할 수 있는 국내에서 제작된 "Windows dtconaboutbaks" 프로그램<MD5 : 1ad9905a8b94cc78a0718ae6334a7753 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.ji (VT : 13/49)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\deatabak

C:\Program Files\deatabak\cns.dat
C:\Program Files\deatabak\deatabak.exe :: 시작 프로그램 등록 파일
C:\Program Files\deatabak\uninst.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\deatabak\deatabak.exe
 - MD5 : 1570bc55e9ce151865f2076d37d403cd
 - BitDefender : Gen:Variant.Adware.Graftor.72519 (VT : 13/49)

해당 프로그램은 "C:\Program Files\deatabak" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\deatabak\deatabak.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(deatabak.exe)은 특정 업데이트 서버에서 정보를 체크하여 특정 부팅 시점에서는 그림과 같은 업데이트 창을 생성하여 다수의 프로그램을 사용자의 부주의한 실수를 유발하여 설치하도록 제작되어 있습니다.

프로그램 삭제는 제어판에 등록된 "Windows dtconaboutbaks (remove only)" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\deatabak.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - deatabak = C:\Program Files\deatabak\deatabak.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows dtconaboutbaks (remove only)

 

"Windows dtconaboutbaks" 프로그램은 사용자에게 도움을 주는 아무런 기능없이 사용자의 실수를 통해 다수의 프로그램을 강제로 설치하도록 하려고 제작된 프로그램이므로 주의하시기 바랍니다.