울지않는벌새 : Security, Movie & Society

제휴(스폰서) 배포 프로그램 : Windows Live Updater - tenonsmnte.exe (2015.1.12)

벌새::PUP Info

 

시스템 시작 후 바탕 화면에 "업데이트 안내" 창을 생성하여 다수의 제휴 프로그램의 설치를 유도하는 국내에서 제작된 "Windows Live Updater" 광고 배포용 프로그램의 변종 정보가 수집되어 공개해 드립니다.

해당 프로그램은 변종에 따라 서비스 이름 및 파일명을 다양하게 생성할 수 있으므로 참고하시기 바랍니다.

 

파일 경로

 C:\Windows\tenonsmnte.exe

MD5

 24845DA0E7324E07F70190930D84558B

진단명

 PUP/Win32.IntClient (AhnLab V3 365 Clinic)

제품 이름

 PC Software

파일 설명

 tenonsmnte.exe

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tenonsmnte

비고

 서비스(tenonsmnte) 등록 파일

 

"Windows Live Updater" 프로그램은 Windows 폴더에 te******te.exe 파일 패턴으로 구성된 다양한 파일을 생성하며, 현재까지 발견된 파일 기준으로 "PC Software" 파일 속성값으로 구분할 수 있습니다.

 

tenonsmnte 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\tenonsmnte.exe" 파일을 자동 실행하여 특정 서버에 등록된 제휴 프로그램 정보를 체크할 수 있습니다.

만약 추가 정보가 존재할 경우 추가적인 ZIP 압축 파일 다운로드를 통해 임시 폴더에 recom.exe 파일을 생성 및 실행하여 "업데이트 안내" 창을 생성하며, 좁은 영역에 등록된 다수의 INSAFE 계열 광고 프로그램의 설치를 유도할 수 있습니다.

 

특히 생성된 "업데이트 안내" 창은 우측 상단의 닫기(X) 버튼을 비활성화 처리하여 사용자가 업데이트 창 종료를 방해하여 "확인" 버튼을 클릭하도록 유도하는 수법을 이용하는 것으로 판단됩니다.

 

그러므로 해당 업데이트 창이 생성되는 경우에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 recom.exe 프로세스를 찾아 종료하는 방식으로 광고 프로그램이 설치되지 않도록 하시기 바랍니다.

 

"Windows Live Updater" 광고 배포용 프로그램 삭제 방법

기본적으로 해당 프로그램은 제어판에 등록된 "Windows Live Updater" 삭제 항목을 통해 프로그램 제거를 제공하고 있으며, 사용자가 수동으로 프로그램 삭제가 필요한 경우에는 다음의 절차를 참고하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "tenonsmnte"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

 

(b) "C:\Windows\tenonsmnte.exe" 파일을 찾아 삭제하시기 바랍니다.

 

"Windows Live Updater" 광고 배포용 프로그램이 설치되었다고 시스템 시작시마다 업데이트 창을 생성하는 것이 아니라 특정 시점에서 생성되어 사용자의 부주의한 클릭을 유도하여 다수의 광고 프로그램을 설치하여 PC 사용에 심각한 불편을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.