Windows 부팅 후 업데이트 창 생성을 통해 다양한 광고 프로그램의 설치를 유도할 수 있는 SystemUpService 배포 프로그램의 변종이 수집되어 정보를 공개해 드립니다.
SystemUpService 프로그램은 실행시 "UtilChangoservice2" 뮤텍스(Mutex)를 생성하는 것으로 보아 "Windows Utilchango Service" 배포 프로그램에서 뿌리를 찾을 수 있습니다.
해당 프로그램의 설치 과정을 살펴보면 특정 서버에서 service2.zip 압축 파일을 다운로드하여 임시 폴더에 다음과 같은 파일을 생성합니다.
- C:\Users\(사용자 계정)\AppData\Local\Temp\service2.exe
- C:\Users\(사용자 계정)\AppData\Local\Temp\service2uninst.exe
생성된 파일은 Windows 폴더 내에 다양한 파일명을 기반으로 자가 복제가 이루어지는 방식으로 SystemUpService 프로그램을 설치합니다.
파일 경로 |
C:\Windows\s2nnqtrqpdsuc.exe |
MD5 |
D2D61098E932BA586C65DAD77C8E68CF |
진단명 |
Gen:Variant.Adware.Graftor.140283 (BitDefender) |
디지털 서명 |
INSAFE |
제품 이름 |
Service Manager |
파일 설명 |
s2nnqtrqpdsuc.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\s2nnqtrqpdsuc |
비고 |
서비스(s2nnqtrqpdsuc) 등록 파일 |
INSAFE 디지털 서명이 포함된 SystemUpService 프로그램은 "s2nnqtrqpdsuc" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\s2nnqtrqpdsuc.exe" 파일을 자동 실행하도록 구성되어 있습니다.
출처 : 네이버 지식iN
이를 통해 특정 서버에 등록된 정보를 체크하여 특정 부팅 시점에서는 업데이트 창 생성을 위한 추가 다운로드를 통해 "C:\Windows\Temp\recom.exe" 파일을 생성하여 추천 프로그램 관련 업데이트 창 생성을 통해 다양한 광고 및 배포 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.
참고로 업데이트 기능을 통해 설치 가능한 프로그램은 EasyClean, Windows Baro Visit, Windows GearExtion, Windows RCProvider, Windows WinDirector 광고 프로그램과 Windows Fixs, Windows Live Updater, Windows Mouse Service Fix 배포 프로그램 등 다양할 것으로 추정됩니다.
해당 프로그램은 제어판에 표시되지 않는 대신 시작 메뉴의 프로그램 목록에 "SystemUpService" 메뉴로 설치 여부를 확인할 수 있습니다.
그러므로 프로그램 삭제를 위해서는 "SystemUpService → Uninstall" 메뉴를 실행하거나 "C:\Windows\s2nnqtrqpdsuc_uninstall.exe" 파일을 찾아 직접 실행하여 프로그램 삭제를 진행하시기 바랍니다.
만약 사용자가 수동으로 프로그램 삭제가 필요한 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "s2nnqtrqpdsuc"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동으로 삭제하시기 바랍니다.
(b) 다음의 폴더(파일)를 찾아 직접 삭제하시기 바랍니다.
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SystemUpService
- C:\Windows\s2nnqtrqpdsuc_uninstall.exe
- C:\Windows\s2nnqtrqpdsuc.exe
SystemUpService 프로그램은 평소에는 조용하지만 특정 부팅 시점에서는 업데이트 창 생성을 통해 다양한 광고 및 배포용 프로그램의 설치를 유도할 수 있으며, 변종에 따라 Windows 폴더에 다양한 파일명으로 설치가 이루어지므로 설치되지 않도록 각별히 주의하시기 바랍니다.