본문 바로가기

벌새::Analysis

자동으로 실행되는 "ESTsoft ALTools Update Service" 생성 정보 (2017.4.3)

728x90
반응형

개인적으로 이스트소프트(ESTsoft) 업체에서 제공하는 일부 알툴즈(ALTools) 제품을 설치하여 사용하고 있었는데 2017년 3월 31일경 알송(ALSong) 프로그램을 실행한 직후 "ESTsoft ALTools Update Service" 허용을 요구하는 사용자 계정 컨트롤(UAC)이 생성되는 증상이 있었습니다.

 

당시에는 무의식적으로 실행을 허용하였다가 평소 위와 같은 행위는 기억되지 않았기에 간단하게 살펴보았습니다.

 

 

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALUpdateService

 

우선 당시 실행된 정보를 찾아보면 "ESTSoft ALTools Update Service" 서비스 항목으로 추가되어 Windows 부팅 시마다 "C:\Program Files (x86)\ESTsoft\ALUpdate\eausvc.exe" 파일이 실행되는 것을 알 수 있습니다.

 

 

이로 인하여 부팅 후 실행 중인 프로세스를 확인해보면 eausvc.exe 파일이 항상 메모리에 올라와 있는 것을 알 수 있으며, 제 기억으로는 그 동안 알툴즈(ALTools) 제품을 설치 후 사용 과정에서 부팅 시 자동 실행되는 서비스는 없었던 것으로 추정됩니다.

 

 

오래 전의 이스트소프트 업데이트 서버 해킹에 대한 나쁜 기억으로 인해 실제 eausvc.exe 파일이 어디에서 다운로드되었는지 조사를 해보면 알툴즈(ALTools) 서버에서 2017년 3월 28일경부터 다운로드된 정상적인 파일로 확인되고 있습니다.

 

 

사전에 자동 다운로드된 파일은 사용자 계정 컨트롤(UAC) 허용을 통해 "C:\Program Files (x86)\ESTsoft\ALUpdate\eausvc.exe" -install 실행 명령어를 통해 최종적으로 "ALUpdateService (표시 이름 : ESTsoft ALTools Update Service)" 서비스 등록이 이루어지게 됩니다.

 

 

Windows 부팅 시마다 자동 실행된 eausvc.exe 파일은 알툴즈 업데이트(ALTools Update)와 연관되어 있는 것은 분명하지만 이전과 다르게 왜(WHY?) 자동 실행되는지는 알 수 없습니다.

 

물론 알툴즈 업데이트 프로그램을 개별 제거한 후 설치된 알툴즈(ALTools) 제품을 이용한다고 문제가 되는 것은 아니지만 상위 버전 업데이트 시마다 자동으로 설치되는 알툴즈 업데이트는 막을 방법이 없습니다.

728x90
반응형