인터넷 검색시 추가적인 광고창 생성 및 시스템 시작 후 추가적인 동작이 예상되는 검색 도우미 "Microsoft AD WS" 프로그램(MD5 : ddc8d0e8fe5d6bec3b98637122ac1155)에 대해 살펴보도록 하겠습니다.
해당 프로그램의 이름은 마이크로소프트(Microsoft) 관련 프로그램으로 위장하고 있지만, "dreamprime" 디지털 서명을 포함한 국내 광고 계열 프로그램으로 확인되고 있습니다.
프로그램의 배포 방식을 확인해보면 "검색 도우미 : Revealing Top Search App (2013.5.25)" 프로그램에 추가된 다수의 권장 프로그램 중 "Wing Search" 배포명으로 설치를 유도하고 있습니다.
▷ [삭제] DreamNet Service (2013.3.23)
▷ 국내 악성코드 : GloryShop (2013.4.7)
또한 기존에 유사성이 강한 프로그램이 배포되었던 사례가 있으므로 참고하시기 바라며, 추가적으로 블로그에서는 소개하지 않았지만 2013년 4월 4일경 "TechShop"이라는 이름으로 추가적인 배포가 이루어진 적이 있습니다.
- h**p://down.***toittwo.pe.kr/TechShop.exe (MD5 : de2ac098e52822a358298fac7b7c59d0) - AhnLab V3 : Win-Adware/KorAd.202199 (VT : 9/47) :: 배포 파일
- h**p://down.***toittwo.pe.kr/gongmojasetup.exe (MD5 : d017a918d68720b4ff484b1cca44c4a5) - AhnLab V3 : Win-Dropper/KorAd.2600353 (VT : 21/46) :: 설치 파일
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\bot.dat
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\category.dt
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestm.exe
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestms.exe :: 서비스(guestm) 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestmu.exe
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\LniAdLib.dll
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\nhopen.dll
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\op.db
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\site.dat
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\today.dat
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\winkr.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\winkr.exe
- MD5 : 6af10a89df1c579571951e505a0d8ede
- AhnLab V3 : PUP/Win32.URLHelper (VT : 19/47)
해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm" 폴더에 파일을 생성하며, 프로그램 내부에는 기존에 알려진 오픈매치(OpenMatch) 광고 파일이 포함되어 있습니다.
프로그램은 "guestm(Microsoft AD WS)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestms.exe" 파일을 자동 실행합니다.
자동 실행된 서비스 파일(guestms.exe)은 5분간 대기 상태를 유지하다가 guestm.exe, guestmu.exe 2개 파일을 실행하여 추가적인 구성값 데이터 파일(bot.dat, site.dat, today.dat)을 다운로드합니다.
- C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\bot.dat
- C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\site.dat
- C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\today.dat
1. "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestm.exe" 파일
시스템 시작 후 자동 실행되는 guestm.exe 파일은 bot.dat, site.dat 파일 다운로드 및 특정 서버에서 정보를 체크하는 동작을 수행합니다.
이를 통해 특정 시점에서 추가적인 광고 팝업창 생성 등의 수익 활동이 예상되며, 평소에는 체크 후 자동 종료되어 사용자가 쉽게 눈치챌 수 없습니다.
2. "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\guestmu.exe" 파일
시스템 시작 후 자동 실행되는 guestmu.exe 파일은 today.dat 파일 다운로드 및 특정 서버에서 정보를 체크하는 동작을 수행합니다.
이를 통해 특정 시점에서 추가적인 업데이트 창을 생성하여 수익성 프로그램 설치 동작이 이루어질 가능성이 있습니다.
3. "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\winkr.exe" 파일
오픈매치(OpenMatch) 프로그램으로 알려진 "nhopen.dll + winkr.exe" 조합 파일은 Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\winkr.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하여 메모리에 상주합니다.
이를 통해 사용자가 인터넷 검색을 통해 웹 사이트 접속시 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 winkr.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 winkr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
▶ <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 7종
▷ "Windows InternetSafer" 유해 차단 프로그램에 포함된 intsfad.exe 광고 파일 (2013.2.3)
▷ 검색 도우미 : Windows Internet displaylink (2013.4.6)
▷ 검색 도우미 : IProtect (2013.4.8)
또한 기존부터 다양한 프로그램에 오픈매치(OpenMatch) 광고 파일을 추가하여 광고창 생성을 통한 수익 활동이 이루어지고 있으므로 참고하시기 바랍니다.
4. 프로그램 삭제
프로그램 삭제는 제어판에 등록된 "Microsoft AD WS" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- winkr = C:\Documents and Settings\(사용자 계정)\Application Data\wingguestm\winkr.exe
HKEY_CURRENT_USER\Software\winkr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\guestm
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_GUESTM
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\guestm
"Microsoft AD WS" 프로그램은 마이크로소프트(Microsoft) 관련 프로그램처럼 등록되어 사용자 눈을 피하고 있으며, 프로그램의 실제 동작은 지금까지 확인하지는 못하였지만 시스템 시작 후 5분 이상의 시간이 경과하는 시점부터 팝업창 생성, 추가적인 수익성 프로그램 설치, 백그라운드 검색 활동 등의 악의적 행위가 예상되므로 주의하시기 바랍니다.