본문 바로가기

벌새::Analysis

검색 도우미 : Winapp for Windows 버전 1.0.0.2

반응형

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Winapp for Windows 버전 1.0.0.2" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 6c36ef26bab01a69c0149866f0d45e51)을 이용하여 최초 설치가 된 경우 "Winapp for Windows 버전 1.0.0.1" 프로그램이 설치되며, 설치 완료 후 2분이 경과하는 시점에서 다음과 같은 추가적인 업데이트를 통해 "Winapp for Windows 버전 1.0.0.2" 버전으로 변경이 이루어집니다.

 

GET /update//winapp.update.exe HTTP/1.1
User-Agent: SL_DOWN
Host: ******.winapp.kr
Cache-Control: no-cache
[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\winapp :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows
C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\SetupUtil.dll
C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\unins000.dat
C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\winapp.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\My Documents\winapp.update.exe

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\My Documents\winapp.update.exe
 - MD5 : b0df0831e3a87b0d4bda7e87229bfdad
 - AhnLab V3 : Win-PUP/Helper.WinApp.1044208 (VirusTotal : 3/41)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows" 폴더에 파일을 생성합니다.

 

최초 프로그램은 "Winapp for Windows 버전 1.0.0.1"으로 설치가 이루어지며, 시작 프로그램으로 등록되어 메모리에 상주하는 winapp.exe 파일이 2분이 경과하는 시점에서 추가적인 업데이트를 진행하여 "C:\Documents and Settings\(사용자 계정)\My Documents\winapp.update.exe" 파일을 다운로드하여 "Winapp for Windows 버전 1.0.0.2" 버전으로 변경을 합니다. 

위와 같은 일련의 업데이트 과정에서 "Winapp for Windows 버전 1.0.0.1" 버전에서 등록된 시작 프로그램 등록값(winappll)과 "Winapp for Windows 버전 1.0.0.2" 버전에서 등록된 시작 프로그램 등록값(exwinhelp)으로 인해 2개의 winapp.exe 프로세스가 메모리에 상주하는 문제가 발생합니다. 

이는 광고 프로그램의 동작시에도 영향을 미치며 인터넷 검색시 그림과 같이 2개의 광고창이 생성되는 동작을 확인할 수 있습니다. 

해당 광고 동작은 사용자가 인터넷 검색시 winapp.exe 프로세스에서 특정 광고 서버에 키워드 값을 참조하여 광고창을 생성하므로, 광고 동작의 중지를 위해서는 Windows 작업 관리자에서 winapp.exe 프로세스 2개를 모두 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "Winapp for Windows 버전 1.0.0.2" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\My Documents\winapp.update.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - winapp = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - exwinhelp = "C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\winapp.exe" update
 - winappll = "C:\Documents and Settings\(사용자 계정)\Application Data\winapp\Winapp for Windows\winapp.exe" update
HKEY_CURRENT_USER\Software\winapp
HKEY_CURRENT_USER\Software\winapp\Winapp for Windows
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{BB7629F9-6196-41D4-BDCD-7C9B35F19DF3}_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제와 비정상적인 폴더 위치에 프로그램을 설치하여 사용자가 설치 여부를 확인하기 어려우며, 인터넷 검색 과정에서 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.

728x90
반응형