울지않는벌새 : Security, Movie & Society

제휴 프로그램 : Window Info Service

벌새::Analysis

IP 체크 및 시스템 최적화 기능을 제공하면서 시스템 시작시 "인포서비스 업데이트" 창 생성을 통해 추가적인 제휴 프로그램의 설치를 유도할 수 있는 "Window Info Service" 프로그램<MD5 : f5f87cf6beab7f0cf327860b8100f277 - AhnLab V3 : PUP/Win32.NKsolution (VT : 8/49)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> <Right Security Blog> 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종

 

  <2013년 상반기 관련 정보> 제휴(스폰서) 프로그램 : Window SoftwareUpdate (2013.6.11) 외 6종

 

  제휴(스폰서) 프로그램 : Window Update Ware (2013.7.7)

 

  제휴 프로그램 : Window IP Checker (2013.11.30)

 

해당 프로그램은 기존부터 제휴 프로그램 설치 목적으로 다양한 변종 프로그램이 유포되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\info-service
C:\Program Files\info-service\info-service-se.exe :: 서비스(info-serviceservice) 등록 파일
C:\Program Files\info-service\info-service.exe :: 프로그램 실행 파일
C:\Program Files\info-service\info-serviceu.exe
C:\Program Files\info-service\uninst_info-service.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\info-service\info-service-se.exe
 - MD5 : 8e71e109ce11ce040e4e30de8a436bac
 - AhnLab V3 : PUP/Win32.UCF (VT : 5/49)

 

C:\Program Files\info-service\info-serviceu.exe
 - MD5 : 8c7e9ca9ff17fe43bf093a3b99825a7b
 - Kaspersky : HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 10/48)

 

C:\Program Files\info-service\uninst_info-service.exe
 - MD5 : 444c0f0737d3819ef283053b06a8e55c
 - AhnLab V3 : PUP/Win32.Security (VT : 18/49)

해당 프로그램은 "C:\Program Files\info-service" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

"info-serviceservice (표시 이름 : info-service service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\info-service\info-service-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(info-service-se.exe)은 "C:\Program Files\info-service\info-serviceu.exe" 파일을 로딩하여 프로그램 업데이트 및 제휴 프로그램 정보를 체크합니다.

이를 통해 제휴 프로그램 정보에 프로그램이 등록되어 있는 경우 "인포서비스 업데이트" 창을 생성하여 제휴 프로그램에 등록된 프로그램의 설치를 유도할 수 있습니다.

 

(1) [삭제] 서치콘(SearchCon) (2013.12.21)

  • h**p://update.search***.co.kr/setup/searchconsetup_team.exe (MD5 : 7e151d6a52bb5c6828ceaeb14ff93d77) - ESET : a variant of Win32/Adware.Kraddare.FV (VT : 13/49)

(2) 제휴 프로그램 : Window IP Checker (2013.11.30)

  • h**p://update.***checker.co.kr/setup/ip-checker_setup_team.exe (MD5 : 9bb61628982248b63ba788642e7b5b99) - avast! : Win32:Adware-AZI [Adw] (VT : 7/46)

특히 "인포서비스 업데이트" 창을 종료하기 위해 사용자가 닫기(X) 버튼을 클릭할 경우 "업데이트 보안 경고" 창을 생성하여 사용자에게 혼동을 유발하는 문구를 통해 "확인" 버튼을 클릭하도록 유도하여 제휴 프로그램을 설치할 수 있으므로 제시되는 문장을 잘 읽으시기 바랍니다.

인포서비스(Window Info Service) 프로그램이 설치된 환경에서 사용자가 "C:\Program Files\info-service\info-service.exe" 파일을 직접 찾아 실행한 경우에만 IP 확인 및 시스템 최적화 기능을 이용할 수 있도록 제작된 프로그램입니다.

 

하지만 해당 기능보다는 특정 Windows 부팅 과정에서 업데이트 창 생성을 통해 제휴 프로그램 설치가 목적으로 파악되는 프로그램이므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "window info service" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\info-service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\info-service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\info-serviceservice

 

해당 프로그램은 사용자의 부주의한 실수를 유발하여 원치않는 수익성 프로그램 설치를 추가적으로 설치하여 사용자에게 불편을 유발할 수 있으므로 업데이트 창 생성시 화면 내용을 잘 읽으면서 종료 후 프로그램을 삭제하시기 바랍니다.