울지않는벌새 : Security, Movie & Society

사용자 몰래 "Windows Total SyncKit v.1.0" 광고 프로그램을 설치하는 Popupgate 주의 (2014.9.1)

벌새::Analysis

2014월 8월 21일경부터 국내에서 제작된 Popupgate 광고 프로그램<SHA-1 : 6df7deb5daaafa0fe67b6ea591ac62629437d0a6 - AhnLab V3 : PUP/Win32.KorAd.C218040 (VT : 22/55)>이 제휴 프로그램 방식으로 유포되면서 사용자 몰래 "Windows Total SyncKit v.1.0" 광고 프로그램이 함께 설치되는 부분을 발견하였습니다.

  • popupgate.exe (SHA-1 : da9c30e475c9fd1cecf9719c74cef892f9b9bdfc) - AhnLab V3 : PUP/Win32.AboutTab.C219266 (VT : 22/55)
  • setup_popupa.exe (SHA-1 : 1e43ed7ca0f83733746c2ec48a994f3b024b256d) - avast! : Win32:Adware-gen [Adw] (VT : 23/55)

배포 파일을 확인해보면 내부에 Popupgate, Windows Total SyncKit v.1.0 2종의 광고 프로그램이 포함되어 있으며, 배포 이용약관에서는 "Windows Total SyncKit v.1.0" 광고 프로그램 설치에 대한 동의가 존재하지 않는 것으로 판단됩니다.

 

1. Popupgate 프로그램 정보

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\popupgate
C:\Program Files\popupgate\popupgate.exe :: 시작 프로그램(popupgate) 등록 파일
C:\Program Files\popupgate\uninst.exe :: 프로그램 삭제 파일
C:\Windows\popupgate.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\popupgate\popupgate.exe
 - SHA-1 : da9c30e475c9fd1cecf9719c74cef892f9b9bdfc
 - AhnLab V3 : PUP/Win32.AboutTab.C219266 (VT : 22/55)

에스케이소프트뱅크 디지털 서명이 포함된 Popupgate 프로그램은 "C:\Program Files\popupgate" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\popupgate\popupgate.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행된 파일(popupgate.exe)은 특정 서버에서 업데이트 구성값 정보를 체크하여 추가적인 제휴 프로그램이 등록되어 있는 경우 "업데이트 안내" 창을 생성하여 다양한 제휴 프로그램 설치를 유도하므로 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Popupgate" 삭제 항목을 이용하여 삭제할 수 있으며, 사용자 몰래 추가적으로 설치된 "Windows Total SyncKit v.1.0" 광고 프로그램이 존재할 경우 함께 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\popupgate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - popupgate = C:\Program Files\popupgate\popupgate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Popupgate

 

2. "Windows Total SyncKit v.1.0" 프로그램 정보

 

"Windows Total SyncKit v.1.0" 광고 프로그램은 기존에 자세한 분석 정보를 공개한 적이 있으므로 이 글에서는 업데이트 기능을 통한 추가적인 제휴 프로그램 설치 부분에 대해 다루도록 하겠습니다.

 

Popupgate 프로그램 설치 과정에서 "C:\Program Files\popupgate\setup_popupa.exe" 파일<SHA-1 : 1e43ed7ca0f83733746c2ec48a994f3b024b256d - avast! : Win32:Adware-gen [Adw] (VT : 23/55)>을 임시로 생성하여 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0" 폴더에 "Windows Total SyncKit v.1.0" 프로그램을 설치한 후 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Total SyncKit PUGTE v.1.0
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtep.exe
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugter.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtev.exe :: 서비스(wnpugtev32) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe
 - SHA-1 : 52c1e49bd3df778b3026cdf2ed8823b488562d75
 - AhnLab V3 : PUP/Win32.AboutTab (VT : 20/55)

"Now Media Corp." 디지털 서명이 포함된 "Windows Total SyncKit v.1.0" 프로그램은 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0" 폴더에 파일을 생성합니다.

"wnpugtev32 (표시 이름 : Windows Total SyncKit PUGTE Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugtev.exe" 파일(SHA-1 : fc4bcaded6755c09d0ebf1b764222d80e4a4ea1d)을 자동 실행하며, 실행된 파일은 2분 30초가 경과하면 다음과 같은 동작을 수행합니다.

  • C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll (SHA-1 : 7172e7a26cb74cb5e9d31f859de94d86901a347d) :: 1.0.6.0 버전
  • <업데이트> C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll (SHA-1 : 30d909b20c44237185da8a43af3d8a32d51d04ae) :: 1.0.6.1 버전

서비스 파일(wnpugtev.exe)은 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugteku.exe" 파일을 로딩하여 업데이트 서버에서 프로그램 관련 파일의 버전을 체크하여 wnpugte.dll 파일을 패치합니다.

또한 wnpugteku.exe 업데이트 파일은 기존의 "Internet Dualpage KB25031400" 광고 프로그램이 사용하던 업데이트 서버에서 제휴 프로그램 구성값(C:\Windows\dualpage.ini)을 체크하여 "정기 업데이트 안내" 창 생성을 통한 다수의 제휴 프로그램 설치를 유도합니다.

 

(1) 제휴 프로그램 : Windows dtconaboutbaks (2013.12.12)

  • h**p://dn.***setup.com/131210/set_deatabak.exe (SHA-1 : d34bcd6ca11d08634afddb188dafe12497d3a5f6) - BitDefender : Gen:Variant.Adware.Graftor.72519 (VT : 36/54)

(2) 홈케어(HomeCare) 유해 사이트 차단 프로그램에 포함된 광고 기능 주의 (2014.4.12)

  • h**p://home****system.kr/app/1.0/install/HC_Setup_Site_PID_05.exe (SHA-1 : 568dd9b55b2cf21a7e54be79b25a868b6ae54ea8) - AhnLab V3 : PUP/Win32.Security.R103685 (VT : 30/53)

(3) 검색 도우미 : InbToolN (2014.5.7)

  • h**p://dn.***setup.com/140430/InbToolN_IN03.exe (SHA-1 : c73efe33f318e88d97572927bffbba843cddd73c) - AhnLab V3 : PUP/Win32.NBiz.R12440 (VT : 29/54)

(4) 검색 도우미 : Windows Winerspop (2012.10.21)

  • h**p://dn.***setup.com/130701/winspop_runpart.exe (SHA-1 : f2a279a5afbd7d46195388a38e575050a808406a) - AhnLab V3 : PUP/Win32.Winerspop.C238222 (VT : 10/52)

(5) 다운로드 도우미 : INSAFE Client 1.0 (2013.4.3)

  • h**p://dn.***setup.com/130701/setup_tang.exe (SHA-1 : a4ef227f8b8b3271b7ae666f7d8af553a48a4edb) - McAfee : Artemis!16D65505BB59 (VT : 7/55)

(6) Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

  • h**p://dn.***setup.com/140408/adInstall_ssi020.exe (SHA-1 : 485ba16b6364f8ca47c020b36705d4d429853729) - BitDefender : Adware.Agent.OHW (VT : 34/54)

(7) 송플(Songple) 음악 플레이어를 이용한 "Songple Tabs" 광고 기능 주의 (2014.6.29)

  • h**p://down.song***.com/setup_usong_h.exe (SHA-1 : bb5d821d3855c3f0384594d7b4574b81610e3a0f) - AhnLab V3 : PUP/Win32.KorAd.R111456 (VT : 24/53)

(8) 삭제 기능을 제공하지 않는 "Savepop + WizLine Toolbar" 광고 프로그램 주의 (2014.7.3)

  • h**p://***line.co.kr/app/download/partner/5/setup_agent.exe (SHA-1 : 07b55297e44889f90cd53b2f5c3c5986f4a9c370) - McAfee : Artemis!FB6DAF891A79 (VT : 6/55)

(9) 검색 도우미 : Windows Now Pack Drivers (2013.11.24)

  • h**p://dn.***setup.com/140402/setup_j2navi.exe (SHA-1 : 47c3d2d2412cbbc56176a6464364c86076e6b0fe) - AhnLab V3 : PUP/Win32.Helper.R94281 (VT : 3/55)

(10) 검색 도우미 : SearchLike (2013.10.1)

  • h**p://down.search****.co.kr/distribute/SLSimple/searchlike.exe (SHA-1 : ebd3b4c8aa82e42899a0875e04180c97d7d6273c) - AhnLab V3 : PUP/Win32.SearchLike.R85894 (VT : 40/54)

특히 생성된 업데이트 창을 종료하는 과정에서 사용자에게 혼동을 유발하는 문구를 통해 버튼을 잘못 클릭할 경우 자동으로 10여종의 광고 프로그램이 자동으로 설치될 수 있으므로 매우 주의하시기 바랍니다.

 

서비스 파일(wnpugtev.exe)을 통해 추가적으로 로딩되는 광고 기능을 가진 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugter.exe" 파일(SHA-1 : 9ab54fd214c32ae56f7e45a018484e4ae8dd03d1)은 추가적으로 다음과 같은 폴더(파일)를 생성할 수 있습니다.

 

[추가 생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wnpugte
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache
C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupa

 

생성된 "C:\Users\(사용자 계정)\AppData\Roaming\wnpugte\Cache\popupa" 폴더 내에 wnpugtek.exe 파일을 생성하여 Windows 부팅시 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있으며, 테스트 당시에는 관련 동작은 확인되지 않고 있습니다.(※ 해당 광고 동작은 기존에 작성한 "Windows Total SyncKit v.1.0" 분석글을 참고하시기 바랍니다.)

최종적으로 실행된 wnpugter.exe 광고 프로세스는 "C:\Program Files\Windows Total SyncKit PUGTE v.1.0\wnpugte.dll" 광고 모듈을 로딩하여 사용자가 웹 브라우저를 이용하여 인터넷 웹 사이트 접속시 우측 영역에 "Powered by cloudget" 광고 배너를 노출시킬 수 있는 것으로 판단됩니다.

사용자 몰래 설치된 해당 프로그램의 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 wnpugter.exe 프로세스를 찾아 종료한 후, 제어판에 등록된 "Windows Total SyncKit v.1.0" 삭제 항목을 이용하여 제거하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wnpugtev32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Total SyncKit v.1.0
HKEY_LOCAL_MACHINE\SOFTWARE\wnpugte
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wnpugtev32

 

다양한 광고 프로그램 설치를 목적으로 제작된 Popupgate 광고 프로그램을 통해 사용자 몰래 설치되는 "Windows Total SyncKit v.1.0" 광고 프로그램은 광고 배너/팝업 노출 외에도 추가적인 광고 프로그램 설치를 유도하는 동작이 있으므로 설치되지 않도록 주의하시기 바랍니다.