마이크로소프트(Microsoft)에서 제공하는 Windows Live 필수 패키지 2011(Windows Live Essentials 2011) 프로그램의 설치 폴더와 동일한 위치에 삭제를 지원하지 않는 프로그램을 설치하는 "Windows Wiznet Navigation Security" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 69865f9a3afd804516fbe14346acc1af)에는 "Wise Commerce" 디지털 서명이 포함되어 있으며, 프로그램의 이름과는 다르게 보안(Security)과는 무관한 것으로 확인되고 있습니다.
C:\Program Files\Windows Live
C:\Program Files\Windows Live\uninstWiznet.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Live\wpfnflt.dll :: BHO 등록 파일
해당 프로그램은 "C:\Program Files\Windows Live" 폴더에 파일을 생성하며, 일반적으로 Windows Vista 또는 Windows 7 운영 체제 환경 중 마이크로소프트(Microsoft)사에서 제공하는 Windows Live 필수 패키지 2011(Windows Live Essentials 2011) 프로그램이 설치된 경우 그림과 같은 형태를 유지하여 사용자는 프로그램 설치 여부를 확인하기 어렵게 됩니다.
이름 : Windows Wiznet Navigation Security
게시자 : Wise Commerce
유형 : 브라우저 도우미 개체
CLSID : {A1BB9E4B-1D74-4498-BB71-5517960F9AD1}
파일 : C:\Program Files\Windows Live\wpfnflt.dll
프로그램의 기능을 살펴보면 Internet Explorer 웹 브라우저 동작시 wpfnflt.dll 모듈을 브라우저 도우미 개체(BHO)로 등록하는 것을 확인할 수 있습니다.
또한 추가적으로 윈도우 탐색기(explorer.exe) 프로세스에도 wpfnflt.dll 파일을 추가하고 있습니다.
이를 통해서 추가적인 다운로드 기능을 수행할 것으로 추정되며, 확인된 추가된 파일 중 test.exe(MD5 : 443d84dc605823910005a48780fec474) 파일의 경우에는 다음과 같은 동작을 확인할 수 있습니다.
추가 실행된 파일은 "**play.co.kr" 서버와 연결하여 파트너 아이디(filebax) 및 조작된 Mac Address 값을 통해 다양한 광고 관련 서버에서 키워드 검색을 시도하는 동작을 확인할 수 있습니다.
▷ 제휴(스폰서) 프로그램 : 동영상 다운로드 즐겨찾기 모음 - freehard (2012.5.5)
참고로 해당 프로그램 유포와 관련된 서버(**play.co.kr)의 경우 기존에 다양한 웹하드 바로가기를 생성하던 광고 프로그램과 연관되어 있으므로 참고하시기 바랍니다.
프로그램의 삭제는 제어판의 "Windows Wiznet Navigation Security" 삭제 항목을 통해 지원하는 것처럼 구성되어 있지만, 프로그램 삭제를 시도할 경우 "C:\Program Files\Windows Live\uninstWiznet.exe" 파일만 삭제되는 것을 확인할 수 있습니다.
그러므로 핵심적인 다운로드 기능을 수행하는 "C:\Program Files\Windows Live\wpfnflt.dll" 파일은 지속적으로 동작할 수 있으므로 다음과 같은 절차에 따라 수동으로 삭제하시기 바랍니다.
(1) "C:\Program Files\Windows Live\wpfnflt.dll" 파일 확장자명을 변경하시기 바랍니다.(※ 예시 : wpfnflt.dll → wpfnflt.dll-Malware)
(2) 시스템 재부팅 후 다음의 폴더(파일) 및 레지스트리 값을 수동으로 삭제하시기 바랍니다.
- C:\Program Files\Windows Live
- C:\Program Files\Windows Live\uninstWiznet.exe
- C:\Program Files\Windows Live\wpfnflt.dll
HKEY_CURRENT_USER\Software\wpfnflt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A1BB9E4B-1D74-4498-BB71-5517960F9AD1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5518C0A4-8323-4E28-BCBD-91C948B99042}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DF3E8536-A404-4872-97C5-AA78F77236D2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wpfnflt.wpfnfltObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wpfnflt.wpfnfltObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A1BB9E4B-1D74-4498-BB71-5517960F9AD1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wpfnflt
해당 프로그램은 보안과 관련된 기능을 제공하는 것처럼 사용자를 속여서 유명 프로그램 폴더 내에 자신을 설치하며, 프로그램 삭제 기능을 비정상적으로 제공하여 지속적인 동작을 하고 있으므로 주의하시기 바랍니다.