울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : Windows Update Service

벌새::Analysis

추가적인 제휴 프로그램 설치 목적으로 "윈도우 자동 업데이트" 기능을 제공하는 2012년경부터 배포가 이루어진 국내에서 제작된 "Windows Update Service" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Update Service
C:\Program Files\Windows Update Service\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Update Service\winauapi.dll
C:\Program Files\Windows Update Service\winauapi.wud
C:\Program Files\Windows Update Service\winauclt.exe :: "윈도우 자동 업데이트" 실행 파일
C:\Program Files\Windows Update Service\winausrc.exe
C:\Program Files\Windows Update Service\winausrv.exe :: 서비스(winausrv) 등록 파일, 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Update Service\winauclt.exe
 - SHA-1 : 903807dd9818665d7b30918979a9000d29ad9fd2
 - ESET : a variant of Win32/Adware.Kraddare.HD (VT : 4/53)

nurijungbo 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Update Service" 폴더에 파일을 생성합니다.

Windows 업데이트 서비스 프로그램을 관리하는 "winausrv (표시 이름 : Windows Update Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Update Service\winausrv.exe" 파일(SHA-1 : 53f1f38872157de40bdf66ee21488d576ed4b332)을 자동 실행하도록 구성되어 있습니다.

참고로 Windows 운영 체제에서는 원래 "wuauserv (표시 이름 : Windows Update)" 서비스 항목을 통해 시스템 시작시 "C:\Windows\system32\svchost.exe -k netsvcs" 파일을 자동 실행하여 Windows 업데이트 기능을 수행하는 "C:\Windows\System32\wuaueng.dll" 모듈을 로딩하는 구조입니다.

 

즉, "Windows Update Service" 프로그램은 정상적인 Windows Update 기능을 수행하는 서비스(wuauserv)와 매우 유사한 서비스(winausrv)를 등록하여 다음과 같은 기능을 수행할 수 있습니다.

자동 실행된 서비스 파일(winausrv.exe)은 "C:\Program Files\Windows Update Service\winauclt.exe" 파일을 로딩하여 "윈도우 자동 업데이트" 창을 생성하여 필수적으로 설치가 요구되는 보안 패치를 검사하여 설치할 수 있는 기능을 제공하고 있습니다.

실제 업데이트 검사를 진행해보면 마이크로소프트(Microsoft) 업데이트 서버에서 업데이트 정보를 체크하는 것을 확인할 수 있습니다.

하지만 업데이트 체크 과정에서 "update.winupdate.co.kr" 서버에 접속하여 프로그램 업데이트 과정에서 추가적인 제휴 프로그램이 포함되어 있을 경우 "정규 업데이트 및 추가 프로그램 설치 안내" 창을 생성하여 다양한 광고 프로그램 설치를 유도할 수 있습니다.(※ 해당 프로그램이 매우 오래된 관계로 현재 업데이트 서버는 접속되지 않습니다.)

 

위와 같은 일련의 제휴 프로그램 설치 유도 행위는 최근까지 활동하는 "Now Media Corp." 디지털 서명이 포함된 광고 프로그램 계열과 매우 유사하므로 참고하시기 바랍니다.

 

"Windows Update Service" 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "winausrv"] 명령어를 입력 및 실행하여 메모리에 상주하는 winausrv.exe 프로세스를 자동 종료할 수 있습니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Update Service" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
 - wausrv = (설치날짜)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Update Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winausrv

 

"Windows Update Service" 프로그램 이름은 마이크로소프트(Microsoft)에서 제공하는 필수 프로그램으로 오해를 유발할 수 있으며, 업데이트 창에 등록된 다양한 제휴 프로그램을 사용자의 부주의한 클릭을 통해 설치할 목적이라고 볼 수 있으므로 아직까지도 설치되어 있는 경우에는 반드시 삭제하시기 바랍니다.