울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : TredSyncmon - Tred

벌새::Analysis

업데이트 기능을 통해 다양한 제휴 프로그램 배포를 목적으로 제작된 BrowserShot 프로그램의 새로운 변종으로 확인되는 TredSyncmon 프로그램<SHA-1 : 28b3327ab8c246160d700d8093d76b269e9c61cc - avast! : Win32:Adware-gen [Adw] (VT : 28/55)>에 대해 살펴보도록 하겠습니다.

TredSyncmon 프로그램이 설치된 사용자 중에서는 BrowserShot 프로그램도 함께 설치된 사례가 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Tred
C:\Program Files\Tred\delete.exe :: 프로그램 삭제 파일
C:\Program Files\Tred\Syncmon.exe :: 서비스(SyncroMonitorService) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Tred\Syncron.exe :: 시작 프로그램(Syncron) 등록 파일
C:\Program Files\Tred\ver.ix

 

[생성 파일 진단 정보]

 

C:\Program Files\Tred\delete.exe
 - SHA-1 : 43013706524da6c7341822d9769f6ca388596203
 - 알약(ALYac) : Adware.Generic.1304221 (VT : 33/55)

 

C:\Program Files\Tred\Syncmon.exe
 - SHA-1 : 3094bee6d3543d4126fd5cd6168487903be335c5
 - Hauri ViRobot : Adware.Agent.758040.A[h] (VT : 30/56)

 

C:\Program Files\Tred\Syncron.exe
 - SHA-1 : 84c491ad97511aba007a6901153dc0fedda543b1
 - ESET : a variant of Win32/Adware.BrowShot.A (VT : 33/56)

"Good Ad Comms." 디지털 서명이 포함된 TredSyncmon 프로그램은 "C:\Program Files\Tred" 폴더에 파일을 생성합니다.

"SyncroMonitorService (표시 이름 : SyncroMonitorService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Tred\Syncmon.exe" 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 "C:\Program Files\Tred\Syncron.exe" 파일을 로딩합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Syncron = C:\Program Files\Tred\Syncron.exe


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - Syncron = C:\Program Files\Tred\Syncron.exe

또한 Windows 시작시 Syncron 시작 프로그램 등록값을 통해 "C:\Program Files\Tred\Syncron.exe" 파일을 자동 실행하도록 구성되어 있습니다.

이를 통해 사용자 계정 컨트롤(UAC) 알림 설정이 된 환경에서는 Syncron 창이 생성되어 실행 여부를 물어보며(※ UAC 기능을 사용하지 않을 경우 자동 실행됩니다.), 실행될 경우 특정 IP 서버로부터 프로그램 업데이트 정보를 체크한 후 자동 종료 처리됩니다.

 

만약 추가적인 제휴 프로그램 구성값이 포함되어 있는 경우에는 다수의 광고 프로그램 설치가 유도될 수 있으므로 매우 주의하시기 바랍니다.

 

TredSyncmon 프로그램 삭제 방법

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "SyncroMonitorService"] 명령어를 입력 및 실행하여 메모리에 상주하는 Syncmon.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 TredSyncmon 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Syncron = C:\Program Files\Tred\Syncron.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - Syncron = C:\Program Files\Tred\Syncron.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\TredSyncmon
HKEY_CURRENT_USER\Software\TredSyncmon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SyncroMonitorService
HKEY_USERS\.DEFAULT\Software\TredSyncmon

 

BrowserShot, TredSyncmon 프로그램은 다양한 변종을 제작하여 폴더 및 파일 구성을 지속적으로 변경하는 것으로 보이며, 차후 부팅 과정에서 원치않는 불필요한 프로그램(PUP) 설치로 연결될 수 있으므로 설치되지 않도록 주의하시기 바랍니다.