본문 바로가기

벌새::Analysis

검색 도우미 : webManager Windows os Application

반응형

특정 웹 사이트 접속시 사용자 몰래 제휴 코드를 추가하며, 웹 브라우저 창 종료시 광고창을 생성하는 검색 도우미 "webManager Windows os Application" 프로그램(MD5 : 6729733d1bb632823183637b4c38a1a4)에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 검색 도우미 : Windows Adsmap Package (2012.12.29) 외 8종

 

  검색 도우미 : Windows primead package (2013.1.17)

 

  검색 도우미 : Windows adhelp package (2013.2.1)

 

  제휴(스폰서) 프로그램 : Windows Address Search Package (2013.2.6)

 

  검색 도우미 : Windows adsup package (2013.2.11)

 

  검색 도우미 : Windows winhelp package (2013.3.7)

 

  검색 도우미 : Windows Network Editing system (2013.4.6)

 

해당 프로그램과 유사한 기능을 가진 다양한 이름의 변종 프로그램이 다수 발견되고 있으므로 참고하시기 바랍니다.

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

프로그램 설치시에는 프로세스 정보를 체크하여 PC방 관리 프로그램이 존재할 경우 설치가 되지 않도록 되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\webManager
C:\Program Files\webManager\uninstall_webManager.exe :: 프로그램 삭제 파일
C:\Program Files\webManager\webManager.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

해당 프로그램은 "C:\Program Files\webManager" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\webManager\webManager.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

 

  검색 도우미 : WebManager (2010.6.21)

 

참고로 해당 폴더명은 과거 WebManager 검색 도우미 프로그램에서 사용하였던 적이 있으므로 참고하시기 바랍니다.

 

자동 실행된 webManager.exe 파일은 네이버(Naver) 서버에 쿼리 전송, 광고 구성값 체크, 사용자 IP 및 위치 정보 체크 등의 행위를 한 후 메모리에 상주하도록 구성되어 있습니다.

대표적인 광고 동작을 살펴보면 사용자가 인터넷 검색 서비스를 이용한 후 웹 브라우저 창을 종료할 경우 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.

이런 동작은 인터넷 검색시 백그라운드 방식으로 사용자 검색 키워드 값을 참조하여 광고창을 로딩하였다가 웹 브라우저 종료 시점에서 특정 광고 코드(click.linkprice.com)를 추가한 방식으로 후팝업 광고창을 생성합니다.

 

또 다른 광고 동작으로는 사용자가 인터넷 검색을 통해 특정 인터넷 쇼핑몰에 접속할 경우 다음과 같은 광고 동작이 이루어집니다.

예를 들어 사용자가 11번가 인터넷 쇼핑몰 검색을 한 후 검색 결과로 제시된 11번가 웹 사이트에 접속하는 과정을 살펴보았습니다.

이 과정에서 사용자가 11번가 인터넷 쇼핑몰 검색을 수행하면 webManager.exe 프로세스는 자동으로 특정 광고 서버를 백그라운드 방식으로 로딩한 후, 사용자가 인터넷 쇼핑몰 접속시 해당 광고 서버를 경유하여 접속하도록 하며 이 과정에서 특정 광고 코드(click.interich.com)가 추가되는 동작을 확인할 수 있습니다.

위와 같은 광고 동작의 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 메모리에 상주하는 webManager.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "webManager Windows os Application" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\webManager" 폴더를 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - webManager.exe = C:\Program Files\webManager\webManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
uninstall_webManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\webManager

 

"webManager Windows os Application" 프로그램 이름이 마치 Windows 관련 프로그램처럼 등록되어 사용자가 광고 프로그램으로 인지하기 어려우며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형