본문 바로가기

벌새::Analysis

검색 도우미 : 윙고 툴바(WingGo Toolbar) - winggom.exe

728x90
반응형

Internet Explorer 웹 브라우저에 툴바(Toolbar) 생성, 탭(Tab) 및 광고창 방식으로 광고 코드가 추가된 광고를 생성하는 검색 도우미 "윙고 툴바(WingGo Toolbar)"에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 58e4fc2fc452ac379f409e21a543c43b)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Winggo.320088 (VirusTotal : 17/42) 진단명으로 진단되고 있습니다.

 

   <Right Security Blog> 검색 도우미 : 윙고 툴바(WingGo Toolbar) (2010.12.10)

 

또한 윙고 툴바(WingGo Toolbar) 프로그램은 2010년경부터 배포가 이루어진 것으로 보이며, 올해(2012년)에도 안랩(AhnLab) 보안 통계의 악성코드 TOP 10 진단명에서도 종종 보였던 유명한 프로그램으로 기억되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winggou.exe
C:\Program Files\winggo
C:\Program Files\winggo\sm12029.dat
C:\Program Files\winggo\smlist.dat
C:\Program Files\winggo\winggo.dll :: BHO 등록 파일
C:\Program Files\winggo\winggom.exe :: 메모리 상주 프로세스
C:\Program Files\winggo\winggou.exe :: 시작 프로그램 등록 파일

 

해당 프로그램은 "C:\Program Files\winggo" 폴더에 파일을 생성하며, Windows 시작시 winggou.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 프로그램 버전 체크를 하도록 구성되어 있습니다.

 

1. winggo 툴바(Toolbar) 생성 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 도구 모음에 툴바(Toolbar)를 생성합니다. 

해당 툴바는 좌측 영역에 일반적으로 제공되는 "닫기(X)" 버튼을 제공하지 않으므로 툴바를 종료하기 위해서는 웹 브라우저의 빈 영역에 마우스 우클릭을 통해 생성된 메뉴 중 "winggo" 항목을 선택하여 클릭하시기 바랍니다.

 

그럴 경우 "추가 기능 사용 안 함" 창이 생성되어 winggo 추가 기능을 사용하지 않도록 설정할 수 있습니다.

 

2. winggo.dll : 브라우저 도우미 개체(BHO)를 이용한 탭(Tab) 광고 생성 

해당 프로그램은 winggo.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 인터넷 검색을 시도할 경우 "winggo:tab"이라고 표시되는 탭(New Tab)을 생성하며, 사용자가 생성된 탭을 클릭할 경우 자동으로 해당 사이트로 연결이 이루어집니다. 

이 과정에서 특정 광고 서버를 경유한 광고 코드(click.clickstory.co.kr)를 추가하여 인터넷 쇼핑몰에 접속하며, 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 보입니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winggo

게시자 : The A MEDIA

유형 : 도구 모음

CLSID : {003B9765-AB24-47E6-8DB6-6A1A0CE11BC9}

파일 : C:\Program Files\winggo\winggo.dll

 

이름 : winggo

게시자 : The A MEDIA

유형 : 브라우저 도우미 개체

CLSID : {002B9765-AB24-47E6-8DB6-6A1A0CE11BC9}

파일 : C:\Program Files\winggo\winggo.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저가 실행되면 iexplore.exe 프로세스에 winggo.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 탭(Tab) 방식의 광고를 생성합니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "winggo" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

3. winggom.exe 파일을 통한 광고창 생성 

해당 프로그래은 시스템 시작시 자동 실행된 winggou.exe 파일을 통해 winggom.exe 파일을 로딩하여 메모리에 상주시키며, 이를 통해 인터넷 검색시 광고 코드(click.clickstory.co.kr)가 추가된 광고창을 생성합니다. 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 winggom.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "WingGo" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\winggou.exe" 파일을 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Environment
 - OSVersion = (사용자 OS 정보)
HKEY_CURRENT_USER\Software
 - WC = 1
HKEY_CURRENT_USER\Software\A-Wing_Go
HKEY_CURRENT_USER\Software\Microsoft
 - WC = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WingGo = "C:\Program Files\winggo\winggou.exe" UPDATE
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WingGo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{002B9765-AB24-47E6-8DB6-6A1A0CE11BC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{003B9765-AB24-47E6-8DB6-6A1A0CE11BC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {003B9765-AB24-47E6-8DB6-6A1A0CE11BC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{002B9765-AB24-47E6-8DB6-6A1A0CE11BC9}

 

해당 프로그램은 생성된 툴바(Toolbar)로 인하여 웹 브라우저 반응 속도가 저하되는 문제와 함께 인터넷 검색시 2가지 패턴의 광고가 생성되는 문제로 불편이 예상되므로 주의하시기 바랍니다.

728x90
반응형