본문 바로가기

벌새::Analysis

검색 도우미 : WideOn + WindowSystem

반응형

인터넷 검색시 웹 브라우저 상단에 광고 툴바(Toolbar) 생성 및 오픈탭(OpenTab) 광고창이 생성되는 검색 도우미 "WideOn + WindowSystem" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 8047cd7e227a33f99a343cd48870425d)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.ToolOn (VirusTotal : 19/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

  검색 도우미 : 플러스라인(PlusLine) (2010.11.23)

 

  검색 도우미 : 툴온(ToolOn) - ToolOnNY + Microsolution (2011.3.16)

 

  검색 도우미 : 플러스라인(PlusLine) - PlusLineGo + MicroOn (2011.11.24)

 

  검색 도우미 : 티즈업(Tzup) (2011.12.24)

 

또한 WideOn 프로그램은 기존의 유사성이 강한 다양한 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

우선 해당 프로그램의 설치 과정을 살펴보면 특정 서버에 접속하여 WindowSystem 프로그램 관련 파일을 다운로드하여 "C:\Program Files\WindowSystem" 폴더에 프로그램을 설치하며, WideOn 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\wideon\WideOnSetup.exe" 위치에 생성하여 "C:\Program Files\WideOn" 폴더에 프로그램을 설치하도록 구성되어 있습니다.

 

즉, WideOn 프로그램은 배포 과정에서 사용자가 인지하기 어려운 WindowSystem 프로그램을 추가로 설치하는 것을 확인할 수 있습니다.

 

  <Right Security Blog> 검색 도우미 : 윈도우시스템(WindowSystem) (2012.2.12)

 

참고로 WindowSystem 프로그램은 기존에 배포되었던 적이 있었으므로 내용을 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\wideon :: 숨김(H) 속성 폴더
C:\Program Files\WideOn
C:\Program Files\WideOn\ADPopupWO.dll :: BHO 등록 파일
C:\Program Files\WideOn\category.dat
C:\Program Files\WideOn\domainmatch.dat
C:\Program Files\WideOn\except.dat
C:\Program Files\WideOn\mainsite.dat
C:\Program Files\WideOn\sotab.dll :: BHO 등록 파일
C:\Program Files\WideOn\WideOn.dll :: BHO 등록 파일
C:\Program Files\WideOn\WideOnUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\WideOn\wosghelp.exe :: 메모리 상주 프로세스
C:\Program Files\WideOn\WOUninstall.exe :: WideOn 프로그램 삭제 파일

C:\Documents and Settings\All Users\시작 메뉴\프로그램\WindowSystem.lnk
C:\Program Files\WindowSystem
C:\Program Files\WindowSystem\WindowSystem_se.exe :: WindowSystem Support Service 서비스 등록 파일
C:\Program Files\WindowSystem\WindowSystem_updater.exe
C:\Program Files\WindowSystem\WindowSystem.exe :: WindowSystem 실행 파일
C:\WINDOWS\WindowSystem_uninstaller.exe :: WindowSystem 프로그램 삭제 파일 

[생성 파일 진단 정보]

 

C:\Program Files\WideOn\sotab.dll
 - MD5 : 3ef7702ad0cccbb3f06d72b29916fe1c
 - AhnLab V3 : PUP/Win32.OpenTab (VirusTotal : 9/42)

 

C:\Program Files\WideOn\WOUninstall.exe
 - MD5 : 6e1011b5c5ab5dfc9839ead671d98708
 - AhnLab V3 : Win-PUP/Helper.WideOn.243312 (VirusTotal : 3/41)

 

C:\Program Files\WindowSystem\WindowSystem_se.exe
 - MD5 : c6f59e64e1b18ace815ca3bb8794aa3f
 - AhnLab V3 : Win-PUP/Helper.WideOn.60496 (VirusTotal : 12/42)

 

C:\Program Files\WindowSystem\WindowSystem_updater.exe
 - MD5 : 8c563d904f6a142a909a3110baf7f90d
 - nProtect : Trojan/W32.Agent.66104.F (VirusTotal : 25/42)

 

C:\Program Files\WindowSystem\WindowSystem.exe
 - MD5 : 5833d150d3c52ab96c2f7dbe713ff262
 - nProtect : Trojan/W32.Agent_Packed.188480 (VirusTotal : 24/42)

 

C:\WINDOWS\WindowSystem_uninstaller.exe
 - MD5 : 7ce0f28ca6077da5049c254a41b3d525
 - AhnLab V3 : Win-PUP/Helper.WideOn.116272 (VirusTotal : 17/42) 

 

해당 프로그램은 "C:\Program Files\WideOn" 폴더에 WideOn 검색 도우미 프로그램을 설치하며, "C:\Program Files\WindowSystem" 폴더에 업데이트 기능을 통한 추가적인 수익성 프로그램을 설치할 가능성이 있는 WindowSystem 프로그램을 설치합니다.

 

WideOn 검색 도우미 프로그램은 WideOnUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 wosghelp.exe 파일을 메모리에 상주시키도록 제작되어 있습니다.

WindowSystem 프로그램은 서비스에 "WindowSystem Update Service(WindowSystem Support Service)" 항목을 등록하여 Windows 시작시 "C:\Program Files\WindowSystem\WindowSystem_se.exe" 파일을 자동으로 실행되도록 구성되어 있습니다.

 

1. WindowSystem 업데이트 프로그램

WindowSystem 프로그램의 이름은 마치 윈도우(Windows) 관련 프로그램처럼 이름이 등록되어 혼동을 유발할 수 있으며, 해당 프로그램은 시스템 시작시 서비스에 등록된 WindowSystem_se.exe 파일을 자동으로 실행하여 업데이트 체크를 하도록 구성되어 있습니다.

이 과정에서 그림과 같은 WindowSystem 창이 생성되어 WideOn 프로그램을 비롯한 추가적인 수익성 프로그램의 업데이트 및 설치를 유발할 수 있을 것으로 판단됩니다.

 

2. WideOn 검색 도우미 프로그램

WideOn 프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 특정 서버로부터 광고 관련 키워드 정보를 받아오는 것을 확인할 수 있습니다.

프로그램 동작을 살펴보면 인터넷 검색시 웹 브라우저 상단에 검색 키워드 값을 참조하여 G마켓, 옥션, 11번가 바로가기와 추천 검색어 정보 관련 툴바(Toolbar)가 생성되는 동작을 확인할 수 있습니다.

또한 인터넷 검색을 통해 특정 웹 사이트에 접속할 경우, 추가적으로 국내 모 보안업체에서 제공하는 것으로 알려진 오픈탭(OpenTab) 멀티 광고창이 생성되는 동작을 확인할 수 있습니다.

추가적으로 인터넷 검색을 통해 오픈한 웹 사이트가 생성되는 과정에서 백그라운드 방식으로 WideOn 프로그램이 생성한 광고 사이트가 생성되었다가, 사용자가 인터넷 검색을 통해 오픈한 웹 사이트를 종료하는 시점에서 노출되는 동작을 확인할 수 있습니다.

이를 종합해보면 사용자가 인터넷 검색을 시도할 경우 웹 브라우저 상단에 기본적으로 툴바(Toolbar) 생성이 이루어지며, 검색을 통해 특정 웹 사이트에 접속할 경우 추가적인 오픈탭(OpenTab) 멀티 광고창이 생성되며, 사용자가 검색창을 종료할 경우 백그라운드로 생성되어던 또 다른 광고창이 생성되는 동작을 통해 인터넷 이용시 상당한 불편을 유발하고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : AdPopupB
게시자 : (주)인아이티원
유형 : 브라우저 도우미 개체
CLSID : {397CFDD8-762F-44D4-9517-E3969F89639E}
파일 : C:\Program Files\WideOn\ADPopupWO.dll

 

이름 : WideOn
게시자 : (주)인아이티원
유형 : 브라우저 도우미 개체
CLSID : {FB5259EB-0EC8-43E6-B97A-78635CB052FF}
파일 : C:\Program Files\WideOn\WideOn.dll

 

이름 : Search오픈탭
게시자 : (주)인아이티원
유형 : 브라우저 도우미 개체
CLSID : {884EAA16-CA35-4666-845A-DC084DCDF356}
파일 : C:\Program Files\WideOn\sotab.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 ADPopupWO.dll, WideOn.dll, sotab.dll 3개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 툴바(Toolbar), 오픈탭(OpenTab), 광고창 생성 등의 동작을 하도록 구성되어 있습니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "AdPopupB", "WideOn", "Search오픈탭" 3개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 프로그램 삭제시에는 Windows 작업 관리자에서 wosghelp.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램의 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "WideOn Uninstall", "WindowSystem" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, WideOn 프로그램 삭제시 제시되는 4자리 제시 문자를 입력하여 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보 : WideOn 프로그램]

 

HKEY_CURRENT_USER\Software\WideOn
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ADPopup.AdPopupB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{884EAA16-CA35-4666-845A-DC084DCDF356}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FB5259EB-0EC8-43e6-B97A-78635CB052FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{88F1E09F-3F83-42C5-9277-3CD45D52B891}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A4B31EE3-FF33-41F0-BB94-B48CAF6F78D1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4B384E6F-52CA-4847-BE49-9ABB9D1CA8F0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7BA6DF99-65C4-4135-8FF2-6AECC28D0AAF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WideOn.PDreamB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WideOn.PDreamB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility
 - didactic = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{884EAA16-CA35-4666-845A-DC084DCDF356}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FB5259EB-0EC8-43e6-B97A-78635CB052FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wideonupdate = C:\Program Files\WideOn\WideOnUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WideOn

 

[생성 레지스트리 등록 정보 : WindowSystem 프로그램] 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\WindowSystem_updater
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowSystem
HKEY_LOCAL_MACHINE\SOFTWARE\WindowSystem
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWSYSTEM_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowSystem Update Service

 

해당 프로그램은 확인된 바에 따르면 AhnLab V3 보안 제품에서 Win-Trojan/Downloader.119296.IF (VirusTotal : 23/42) 진단되는 악성 파일을 통해 다수의 수익성 프로그램들과 함께 설치가 이루어지고 있는 것으로 알려져 있으므로, 프로그램 삭제 후에는 보안 제품을 이용하여 정밀 검사를 진행하시기 바랍니다.

728x90
반응형