Windows 부팅시 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창 생성 및 웹 브라우저 우측 영역에 "Powered by cloudget" 광고 배너를 노출시킬 수 있는 검색 도우미 "Windows Total SyncKit v.1.0" 프로그램<SHA-1 : 1e43ed7ca0f83733746c2ec48a994f3b024b256d - AhnLab V3 : PUP/Win32.AboutTab (VT : 20/55)>에 대해 살펴보도록 하겠습니다.
C:\Program Files\Windows Total SyncKit PUGTE v.1.0
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtep.exe
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugter.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtev.exe :: 서비스(wnpugtev32) 등록 파일
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe
- SHA-1 : 52c1e49bd3df778b3026cdf2ed8823b488562d75
- AhnLab V3 : PUP/Win32.AboutTab (VT : 12/55)
"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0" 폴더에 파일을 생성합니다.
"wnpugtev32 (표시 이름 : Windows Total SyncKit PUGTE Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtev.exe" 파일(SHA-1 : fc4bcaded6755c09d0ebf1b764222d80e4a4ea1d)을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(wnpugtev.exe)은 2분 30초가 경과하면 업데이트 서버에서 파일 버전을 체크하여 최신 파일로 패치가 이루어지며, 테스트 당시 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll" 파일이 업데이트 되었습니다.
- C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll :: 1.0.6.0 버전 (SHA-1 : 7172e7a26cb74cb5e9d31f859de94d86901a347d)
- C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll :: 1.0.6.1 버전(SHA-1 : 30d909b20c44237185da8a43af3d8a32d51d04ae)
이후 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe" 파일 로딩을 통해 특정 광고 서버 구성값 정보를 체크(C:\Windows\dualpage.ini)하며, 특정 제휴 프로그램이 등록되어 있을 경우 "정기 업데이트 안내" 창을 생성하여 추가적인 권장 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
참고로 wnpugteku.exe 파일은 "에스케이소프트뱅크" 디지털 서명이 포함되어 있으며, 기존의 "Internet Dualpage KB25031400" 광고 프로그램 계열입니다.
또한 광고 기능을 수행하는 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugter.exe" 파일(SHA-1 : 9ab54fd214c32ae56f7e45a018484e4ae8dd03d1)을 로딩하여 메모리에 상주시킵니다.
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupu
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupu\wnpugtek.exe
실행된 wnpugter.exe 파일은 Windows 부팅시마다 "C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupu" 폴더를 생성하여 특정 조건을 만족시킬 경우 wnpugtek.exe 파일(SHA-1 : c58564c50242a683dc9cd29e65b6d29769ddec79)을 생성할 수 있습니다.
이를 통해 Windows 부팅시 바탕 화면 최상위에 구글 애드센스(Google AdSense) 팝업창이 생성되며, 사용자가 "오늘하루 열지 않기" 체크 박스에 체크할 경우 종료 후 작업 크기의 광고 팝업창이 생성됩니다.
사용자가 이들 광고창을 모두 종료할 경우 자동으로 "C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupu\wnpugtek.exe" 파일은 삭제 처리됩니다.
그 외의 광고 동작으로는 기존의 "Windows CloudGet - Windows CloudGet v1.4", "Windows Now Pack Drivers" 광고 프로그램과 유사하게 메모리에 상주하는 wnpugter.exe 파일을 통해 로딩된 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll" 광고 모듈이 웹 브라우저 우측 영역에 "Powered by cloudget" 광고 배너를 생성할 수 있지만, 테스트 당시에는 해당 동작은 확인되지 않고 있습니다.
해당 프로그램의 삭제를 위해서는 Windows 작업 관리자를 실행하여 wnpugter.exe 프로세스를 찾아 종료한 후, 제어판에 등록된 "Windows Total SyncKit v.1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\wnpugte
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Total SyncKit v.1.0
HKEY_LOCAL_MACHINE\SOFTWARE\wnpugte
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wnpugtev32
"Windows Total SyncKit v.1.0" 광고 프로그램은 최근 다른 광고 프로그램 설치 과정에서 사용자 동의없이 몰래 설치가 이루어지고 있는 부분이 발견되고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.