특정 시점에서 윈도우 부팅시 업데이트 창 생성을 통해 다수의 추천 프로그램 설치를 유도하며 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 사용자에게 설치 여부를 숨기려는 국내에서 제작된 ‘System Management’ 프로그램에 대해 각별한 주의가 필요한 상황이다.
 
보안블로그 울지않는 벌새는 이 악성 프로그램에 대한 주의를 당부하며 'System Management' 프로그램은 기존부터 다양한 광고 프로그램 설치를 유발하는 사례에서 발견되고 있으며, 변종에 따라 다양한 서비스 및 파일명으로 설치가 이루어지고 있는 것으로 파악되고 있다”며 “대표적인 유포 방식은 스팸 블로그에 등록된 유용한 소프트웨어로 위장한 첨부 파일 또는 다운로드 링크를 통해 다운로드된 파일을 실행할 경우 생성된 다운로드 창에 추가된 제휴 프로그램 중 시스템관리 항목을 통해 설치될 수 있다”고 설명했다.

 
울지않는 벌새의 분석 내용에 따르면, ‘System Management’ 프로그램은 윈도우 폴더 내에 실행 파일과 삭제 파일로 구성된 2개의 파일을 생성하며 변종에 따라 다양한 파일명으로 설치될 수 있다.
 
‘stupopdsup(표시 이름: System Management)’ 서비스 항목을 등록해 시스템 시작시 "C:Windowsstupopdsup.exe" 파일을 자동 실행하도록 구성되어 있다.
 
자동 실행된 서비스 파일(stupopdsup.exe)은 특정 서버에서 구성값 정보를 체크하며 특정 시점에서는 업데이트 안내창을 통해 마우스 컨트롤 서비스를 비롯한 다양한 제휴 프로그램의 설치를 유도할 수 있어 각별히 주의해야 한다.  
 
만약 사용자의 부주의로 인해 업데이트 창의 체크 박스를 해제하지 않은 상태로 확인 버튼을 클릭할 경우 다양한 설치 파일을 다운로드해 "C:Users(사용자 계정)AppDataLocalUtilFoldertemp" 폴더에 생성해 설치가 자동으로 이루어질 수 있다.
 
특히 System Management 프로그램은 국내 웹하드 프로그램과 유사하게 제어판의 설치 프로그램 목록에 등록하지 않고 시작 메뉴 내에 프로그램 정보를 추가해 실행 및 삭제를 지원하고 있다.

 
이로 인해 프로그램이 설치된 사용자들은 제어판에서 표시되지 않는 문제로 프로그램 설치 여부를 제대로 인지하지 못하고 있으며, 프로그램 이름 자체가 중요 시스템 관련 프로그램으로 오해를 유발할 수 있어 위험하다.
 
울지않는 벌새는 “System Management 프로그램이 설치된 환경에서는 배포자의 의도에 따라 윈도우 부팅 이후 업데이트 창 생성을 통해 추천 프로그램처럼 설치를 유도해 불필요한 프로그램 다수를 설치해 PC 사용에 심각한 불편을 유발할 수 있어 각별한 주의가 필요하다”고 강조했다.
 
<★악성코드 정보는 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com