울지않는벌새 : Security, Movie & Society

제휴 프로그램 : Windows livetapG(remove only)

벌새::Analysis

Windows 시작시 업데이트 창을 생성하여 다수의 제휴 프로그램의 설치를 유도할 수 있으며, 추가적인 팝업창 생성을 통한 광고 기능이 포함되어 있는 "Windows livetapG(remove only)" 프로그램<SHA-1 : 07113a70a54df572b2df4e929b757f6c2e992c8f - Kaspersky : not-a-virus:Downloader.Win32.Pds.p (VT : 8/47)>에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수

 

  <2013년 관련 정보> 제휴 프로그램 : Windows dtconaboutbaks (2013.12.12) 외 13종

 

  제휴 프로그램 : System btrap x86 (2014.1.10)

 

해당 프로그램은 예전부터 다양한 변종 프로그램을 통해 유포가 이루어지고 있으며, "Windows livetapG(remove only)" 프로그램은 2013년 10월 30일경부터 배포가 이루어진 것으로 보입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\tapgpov
C:\Program Files\tapgpov\tapgcnt.exe
C:\Program Files\tapgpov\tapgpov.exe :: 시작 프로그램 등록 파일
C:\Program Files\tapgpov\uninst.exe :: 프로그램 삭제 파일
C:\Windows\Livepovec.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\tapgpov\tapgcnt.exe
 - SHA-1 : 9ac36b686e15cbbc1784e4825ab7b9d5d6315a21
 - nProtect : Adware/W32.Agent.16384 (VT : 2/49)


C:\Program Files\tapgpov\tapgpov.exe
 - SHA-1 : 2370dc682becf0f44c7d2ea0f57b984606fbefe9
 - ESET : a variant of Win32/Adware.Kraddare.HX (VT : 7/49)

 

C:\Program Files\tapgpov\uninst.exe
 - SHA-1 : be8cc46418f728f034c7857f747fae6fcf1fec97
 - nProtect : Adware/W32.Agent.74760 (VT : 1/50)

해당 프로그램은 "C:\Program Files\tapgpov" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\tapgpov\tapgpov.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(tapgpov.exe)은 특정 서버에서 광고 팝업창 정보를 받아올 수 있으며, 테스트 당시에는 팝업창 생성을 이루어지지 않고 있습니다.

하지만 정상적으로 광고 팝업창이 생성될 경우 현재 안드로이드(Android) 모바일을 대상으로 한 화보 사이트로 접속을 유도하는 광고가 노출될 수 있는 것으로 파악됩니다.

또한 추가적인 파일이 서버에 등록되어 있는 경우 LivePop 업데이트 창 생성을 통해 윈도우즈 권장 프로그램으로 위장한 다양한 제휴 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows livetapG(remove only)" 삭제 항목을 통해 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\tapgpov.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - tapgpov = C:\Program Files\tapgpov\tapgpov.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows livetapG(remove only)

 

"Windows livetapG(remove only)" 프로그램은 배포자의 의도에 따라 특정 Windows 부팅 과정에서 업데이트 창 생성을 통해 사용자의 실수를 유발하여 불필요한 프로그램(PUP)이 설치될 수 있으므로 주의하시기 바랍니다.