인터넷 검색시 사용자 키워드 값을 참조하여 광고창 및 사이드바 또는 하단바 광고를 생성하는 검색 도우미 Windows wordfind System 프로그램에 대해 살펴보도록 하겠습니다.
▷ 국내 악성코드 : Windows Onestep System (2011.11.12)
▷ 검색 도우미 : Windows Onestep System - onestep (2011.11.22)
▷ 국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)
▷ 국내 악성코드 : Windows smartlink System (2012.2.14)
▷ 검색 도우미 : Internet SubJet Client (2012.2.18)
▷ 검색 도우미 : SideMatch2.0 (2012.4.1)
▷ 국내 악성코드 : Windows findcheck System (2012.4.9)
▷ 검색 도우미 : Internet linelink Client (2012.4.23)
해당 프로그램(MD5 : 445d279e649cfcab27e0fb2f99a39c79)은 기존에 다양한 이름의 유사성이 강한 검색 도우미 프로그램이 존재하였으므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\wordfind
C:\Program Files\wordfind\$$$wordfinde.exe (= nold_wordfinde.exe)
C:\Program Files\wordfind\ies.tml
C:\Program Files\wordfind\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\wordfind\wfde.exe
C:\Program Files\wordfind\wordfind.dll
C:\Program Files\wordfind\wordfindb.dll :: BHO 등록 파일
C:\Program Files\wordfind\wordfinde.exe :: 시작 프로그램 등록 파일
[생성 파일 진단 정보]
C:\Program Files\wordfind\$$$wordfinde.exe
- MD5 : 2726dbf95f5ed67090be72694123c207
- AhnLab V3 : PUP/Win32.SmartLink (VirusTotal : 25/42)
C:\Program Files\wordfind\wfde.exe
- MD5 : 62eeffda6575ed2ff6c41dce5f31ecc9
- AhnLab V3 : PUP/Win32.Subject (VirusTotal : 16/42)
C:\Program Files\wordfind\wordfinde.exe
- MD5 : cbbcbe72a3916e433e6942cd9456306d
- AhnLab V3 : PUP/Win32.SmartLink (VirusTotal : 21/42)
해당 프로그램은 "C:\Program Files\wordfind" 폴더에 파일을 생성하며, Windows 시작시 wordfinde.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 wordfinde.exe 파일은 특정 서버에 접속하여 프로그램 버전 체크 및 추가적인 번들(Bundle) 프로그램 체크를 통해, 등록된 수익성 프로그램이 존재할 경우 다수의 프로그램을 자동으로 설치할 가능성이 존재합니다.
또한 포털 사이트 검색시마다 iexplore.exe 프로세스의 하위에 wfde.exe 프로세스를 추가하여 다음과 같은 연결 동작을 확인할 수 있습니다.
wfde.exe 프로세스는 사용자가 입력한 키워드 값을 참조하여 사용자가 인터넷을 이용하는 과정에서 adnclick 관련 광고창을 추가적으로 생성하는 동작이 있을 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : wordfind
유형 : 브라우저 도우미 개체
CLSID : {5EBE4B6E-E057-4A49-9164-10E5A4E2AACF}
파일 : C:\Program Files\wordfind\wordfindb.dll
이름 : wordfind
유형 : 탐색창
CLSID : {2291C504-2BDE-42BD-88FC-6CDB31F304FB}
파일 : C:\Program Files\wordfind\wordfind.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 wordfindb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 인터넷 검색을 통해 오픈한 웹 브라우저 창의 사이드바 또는 하단바 형태로 광고창을 생성하는 동작이 있을 것으로 보입니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "wordfind" 항목을 모두 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows wordfind System" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\wordfind
- C:\Program Files\wordfind\old_wordfinde.exe
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wordfind = C:\Program Files\wordfind\wordfinde.exe
HKEY_CURRENT_USER\Software\nowordfind
HKEY_CURRENT_USER\Software\wordfind
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2291C504-2BDE-42BD-88FC-6CDB31F304FB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5EBE4B6E-E057-4A49-9164-10E5A4E2AACF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wordfind.wordfind
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wordfind
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5EBE4B6E-E057-4A49-9164-10E5A4E2AACF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
wordfind
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 일부 사용자 환경에 따라 인터넷 이용 과정에서 웹 브라우저 실행 속도 및 웹 사이트 오픈 속도 저하가 심하게 발생할 수 있으므로 주의하시기 바랍니다.