본문 바로가기

벌새::Analysis

검색 도우미 : 윈도우즈 헬퍼 (Windows Helper)

반응형
스타솔루션 업체에서 서비스하는 검색 도우미 툴바(Toolbar) 프로그램 윈도우즈 헬퍼(Windows Helper)에 대해 살펴보도록 하겠습니다.

해당 업체에서는 위와 같은 악성코드 치료 프로그램을 추가적으로 서비스를 하고 있습니다.

해당 프로그램은 이용약관에서 다음과 같이 Windows Helper 툴바에 대해 설명을 하고 있습니다.

[이용약관 중 일부]

주소창 검색 연결 서비스 - 윈도우즈헬퍼툴바 설치를 하시면 인터넷 익스플로러의 주소표시줄을 대신하여 윈도우즈헬퍼툴바가 기본 주소창이 되며, 이용자가 웹브라우저 주소창에 영문 도메인 주소 대신 회사명, 상표명, 상품명, 서비스명, 사이트명등의 검색어를 입력하면, windowshelper 지능형 검색을 통하여 해당 웹사이트로 연결하거나 검색 사이트의 결과 페이지로 연결 시켜 주는 서비스입니다.

즉, Internet Explorer의 기본 주소 표시줄이 해당 프로그램 설치로 인해 대체가 되면서 특정 검색어를 입력시 해당 서비스에서 제공하는 검색 결과를 보여준다고 밝히고 있습니다.


설치 방식은 특정 서버에서 다운로드 방식으로 이루어지며, 설치 과정에서 [Microsoft Visual C++ Runtime library] 관련 에러를 출력하는 것을 확인할 수 있습니다. 특히 윈도우 시스템 폴더에 생성되는 파일은 설치시마다 파일명이 랜덤(Random)하게 생성되고 있습니다.

생성 폴더, 파일 정보


이렇게 생성된 파일은 프로세스에 상주하는 Wupdate.exe 파일이 특정 포트(Port)를 열고 대기를 하고 있으며, 특히 윈도우 시스템 폴더 내에 생성되는 파일이 설치시마다 이름을 변경하여 사용자가 수동으로 삭제시 매우 어렵게 구성하고 있습니다.

[생성 파일 진단 정보]

C:\Program Files\WinHelper\whInstall.exe (nProtect : Downloader/W32.WinHelper.N1.C)
C:\Program Files\WinHelper\winhelper.dll (nProtect : Adware/Toolbar.WinHelper.F)
C:\Program Files\WinHelper\winsub.dll (nProtect : Adware/Toolbar.WinHelper.F)
C:\WINDOWS\system32\램덤.exe (nProtect : Adware/Toolbar.WinHelper.F)
C:\WINDOWS\whUninstall.exe (nProtect : Trojan-Downloader/W32.Agent.28672.AV)
C:\WINDOWS\Wupdate.exe (nProtect : Adware/Toolbar.WinHelper.N2.A)

현재 국내 유명 보안제품에서는 생성된 모든 파일을 악성코드로 진단하고 있는 것을 확인할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{0D3AA565-8E18-44E6-BE11-F58F92EAA6B8}
HKEY_CLASSES_ROOT\CLSID\{BE6445EF-D642-4BCF-B582-D6E95FF8554F}
HKEY_CLASSES_ROOT\Interface\{A0E6F1F0-DBAF-449C-9EAC-BBFE5C979D0D}
HKEY_CLASSES_ROOT\Interface\{3D3338AF-8D80-4E54-B422-3499FA766D28}
HKEY_CLASSES_ROOT\TypeLib\{7133097A-C862-4FF6-A7D2-4C9D8EB86C1E}
HKEY_CLASSES_ROOT\TypeLib\{D2D12E7B-2799-4CC0-9CDC-6807A22D4C79}
HKEY_CLASSES_ROOT\WindowsHelper.WinHelBand
HKEY_CLASSES_ROOT\WindowsHelper.WinHelBand.1
HKEY_CLASSES_ROOT\Winsub.cbho
HKEY_CLASSES_ROOT\Winsub.cbho.1
HKEY_CURRENT_USER\Software\Microsoft\WinhpIns
HKEY_CURRENT_USER\Software\winhp
HKEY_LOCAL_MACHINE\software\Classes\Interface\{3D3338AF-8D80-4E54-B422-3499FA766D28}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{A0E6F1F0-DBAF-449C-9EAC-BBFE5C979D0D}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{7133097A-C862-4FF6-A7D2-4C9D8EB86C1E}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{D2D12E7B-2799-4CC0-9CDC-6807A22D4C79}
HKEY_LOCAL_MACHINE\software\Classes\WindowsHelper.WinHelBand
HKEY_LOCAL_MACHINE\software\Classes\WindowsHelper.WinHelBand.1
HKEY_LOCAL_MACHINE\software\Classes\Winsub.cbho
HKEY_LOCAL_MACHINE\software\Classes\Winsub.cbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {BE6445EF-D642-4BCF-B582-D6E95FF8554F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D3AA565-8E18-44E6-BE11-F58F92EAA6B8}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - 랜덤(Random).exe = C:\WINDOWS\system32\랜덤(Random).exe
 - Win update = C:\WINDOWS\Wupdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\WinHelper
HKEY_LOCAL_MACHINE\software\winhelper
HKEY_USERS\current\software\Microsoft\WinhpIns
HKEY_USERS\current\software\winhp
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\software\Microsoft\WinhpIns
HKEY_USERS\S-1-5-21-1659004503-1767777339-682003330-1004\software\winhp

※ 해당 정보는 프로그램 삭제 후 삭제되지 않은 항목은 수동으로 삭제하시기 바랍니다.


1. Wupdate.exe


[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - 랜덤(Random).exe = C:\WINDOWS\system32\랜덤(Random).exe
 - Win update = C:\WINDOWS\Wupdate.exe


해당 Wupdate.exe 파일은 윈도우 시작시 자동으로 동작하면서 특정 서버에 접속하여 업데이트 정보를 확인하는 것을 볼 수 있습니다.

특히 추가적으로 등록된 윈도우 시스템 폴더 내의 랜덤(Random).exe 파일이 동작하면서 Internet Explorer의 BHO, Toolbar 등의 등록을 통해 사용자의 특정 검색에 따라 검색 결과를 제시해 주는 역할을 하는 것으로 보입니다.

위에서 언급을 하였지만 생성 파일명이 무작위로 생성되므로 인해 사용자는 시작 프로그램에서 쉽게 찾을 수 없으며, 전형적인 악성코드처럼 등록되는 유형을 가지고 있습니다.


2. Internet Explorer 변화


설치된 Windows Helper는 Internet Explorer에서 자동으로 도구 모음에 등록되어 있으며, 다른 BHO 방식으로 동작하는 프로그램보다 상위에 위치하여 동작을 방해하는 것으로 확인이 되었습니다.







해당 프로그램이 설치되기 전의 Internet Explorer의 모습과 설치된 후의 모습을 비교해 보시면 원래의 주소 표시줄, 검색 공급자, 탭(Tab) 방식이 사라지고 대신 Windows Helper 툴바에서 제공하는 주소 표시줄이 생성된 것을 확인할 수 있습니다.

특히 7버전부터 제공되는 탭 방식을 전혀 사용할 수 없고 새로운 창 방식으로 열리도록 하고 있습니다.


해당 프로그램에서는 삭제와 관련하여 제어판의 [remove winhelper] 삭제 항목을 제공하고 있지만, 보안제품에서 악성코드로 진단하는 이상 반드시 보안제품을 통해 해당 프로그램을 삭제하시기를 추천해 드립니다.

이 프로그램의 경우 정상적인 Internet Explorer를 자신의 기능으로 심하게 수정을 하며, 시작 프로그램 등록 파일의 랜덤한 파일 생성 등을 고려한다면 악성코드로 진단하는 것이 당연하다고 봅니다.

해당 프로그램을 설치한 사용자는 거의 보지 못하였지만 만약 정상적인 Internet Explorer가 이상한 모양으로 변하여 사용상 불편하신 분들은 반드시 자신의 컴퓨터에 설치된 툴바, BHO 등록 정보 등을 확인해 보는 습관이 필요합니다.
728x90
반응형