울지않는벌새 : Security, Movie & Society

제휴 프로그램 : SystemUpService - s2tupopdsuc.exe (2014.7.16)

벌새::Analysis

제어판에 표시되지 않는 시스템업 서비스(SystemUpService) 프로그램 설치를 통해 Windows 시작시 추천 프로그램 업데이트 창을 생성하여 다수의 불필요한 프로그램(PUP) 설치를 유도할 수 있는 SystemUpService 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 유사한 기능을 가진 "System Management" 프로그램의 변종이므로 참고하시기 바랍니다.

대표적인 배포 방식으로는 블로그에 등록된 첨부 파일 또는 파일 다운로드 링크를 통해 실행된 파일<SHA-1 : 9fc0d2ace2ecd9f9af576e73db4146e2cf950667 - Symantec : Trojan.ADH.2 (VT : 17/54)>에 포함된 제휴 프로그램 중 "시스템업 서비스" 항목을 통해 설치가 이루어지고 있습니다.

설치가 진행되면 특정 서버로부터 service2.zip 압축 파일(SHA-1 : 50eb8336ff908989b128daa7fe6b0a3e09e728cf)을 다운로드하여 다음과 같은 파일을 임시 생성합니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2uninst.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe

임시 폴더에 생성된 파일은 자가 복제 방식으로 다음과 같은 프로그램 설치 후 자동 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService\Uninstall.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService\업데이트.lnk
C:\Windows\s2tupopdsuc.exe :: 서비스(s2tupopdsuc) 등록 파일
C:\Windows\s2tupopdsuc_uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Windows\s2tupopdsuc.exe
 - SHA-1 : a931208b8f2264590fdf1bb4d7961eea455c899d
 - AhnLab V3 : PUP/Win32.IntClient.R107148 (VT : 26/54)

 

C:\Windows\s2tupopdsuc_uninstall.exe
 - SHA-1 : 4e2bb5210fc7aaeeea8eed50bf4d8d5c4e8e41df
 - BitDefender : Gen:Variant.Adware.Symmi.42106 (VT : 24/54)

유효하지 않은 INSAFE 디지털 서명이 포함된 SystemUpService 프로그램은 Windows 폴더 내에 파일을 생성하며, 변종에 따라 파일명은 다양하게 등록될 수 있습니다.

"s2tupopdsuc (표시 이름 : SystemUpService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\s2tupopdsuc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(s2tupopdsuc.exe)은 특정 서버에서 구성값 정보를 체크하여 조건에 부합할 경우 업데이트 창 생성을 통해 추천 프로그램( 불필요한 프로그램(PUP)) 설치를 유도할 수 있으며, 추정컨데 "마우스 컨트롤 서비스" 관련 업데이트 창이 가능하리라 생각됩니다.

SystemUpService 프로그램은 일반적인 소프트웨어와는 다르게 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 사용자의 눈을 피하고 있으며, 대신 프로그램 목록에 "SystemUpService" 항목을 등록하여 삭제를 할 수 있도록 되어 있습니다.

그러므로 프로그램 삭제는 프로그램 목록에 등록된 "SystemUpService → Uninstall" 메뉴를 클릭할 경우 "삭제하시면 최신 추천프로그램을 더이상 받지 않습니다. 삭제 하시겠습니까?" 안내창 생성을 통해 프로그램 삭제를 하실 수 있습니다.

 

만약 사용자가 프로그램을 수동으로 삭제할 필요가 있는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "s2tupopdsuc"] 명령어를 입력 및 실행하여 등록된 서비스 값을 자동 삭제하시기 바랍니다.

(b) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService\Uninstall.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService\업데이트.lnk
  • C:\Windows\s2tupopdsuc.exe
  • C:\Windows\s2tupopdsuc_uninstall.exe

참고로 변종에 따라서는 Windows 폴더 내에 생성된 파일명이 다를 수 있으므로, 파일 속성에 표시된 "SystemUpService" 정보로 파일을 찾으시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\s2tupopdsuc
HKEY_LOCAL_MACHINE\SOFTWARE\uninstall_s2tupopdsuc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\s2tupopdsuc

 

SystemUpService 프로그램은 특정 부팅시마다 업데이트 창 생성을 통해 사용자의 부주의한 클릭을 유발하여 불필요한 프로그램(PUP) 다수를 자동으로 설치하여 PC 사용에 심각한 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.