본문 바로가기

벌새::Analysis

검색 도우미 : NetworkWidget

반응형

인터넷 검색시 자동으로 다수의 광고창을 생성할 수 있는 검색 도우미 NetworkWidget 프로그램<MD5 : 91899c34e331116b0438e505fbb3ad89 - nProtect : Trojan/W32.Agent.257008.C (VT : 14/49)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) (2011.6.24)

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2 (2011.8.11)

 

  <Right Security Blog> 검색 도우미 : DirectKeyword2 - DirectKeywordUpdateService (2013.3.23)

 

  검색 도우미 : Window modus (2013.4.2)

 

해당 프로그램은 기존의 DirectKeyword, Window modus 검색 도우미 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\ProgramData\NetworkWidget
C:\ProgramData\NetworkWidget\NetworkWidget.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스, 프로그램 삭제 파일
C:\ProgramData\NetworkWidget\NetworkWidgetService.exe :: 서비스(NetworkWidgetService) 등록 파일, 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\ProgramData\NetworkWidget\NetworkWidget.exe
 - MD5 : fca058cda3b6ca61afbbdab6ffac5cf8
 - nProtect : Adware/W32.Agent.288336 (VT : 2/49)

 

C:\ProgramData\NetworkWidget\NetworkWidgetService.exe
 - MD5 : 4733d74e4ac4a258cd695a26d8f96d57
 - nProtect : Adware/W32.Agent.71248 (VT : 1/49)

해당 프로그램은 "C:\ProgramData\NetworkWidget" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 방식으로 프로그램을 자동 실행하도록 제작되어 있습니다.

NetworkWidgetService 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\NetworkWidget\NetworkWidgetService.exe" 파일을 자동 실행하여 메모리 상주 및 NetworkWidget.exe 파일을 로딩하도록 구성되어 있습니다.

 

또한 Windows 시작시 "C:\ProgramData\NetworkWidget\NetworkWidget.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 프로그램 업데이트 체크를 하도록 구성되어 있습니다.

프로그램이 설치된 환경에서는 사용자가 인터넷 검색시 특정 검색 키워드 값에 따라 자동으로 1~2개의 광고창이 자동으로 생성되는 동작을 수행할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 NetworkWidget.exe, NetworkWidgetService.exe 2개의 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 다음과 같은 방식으로 프로세스를 종료하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "NetworkWidgetService"] 명령어를 입력 및 실행하여 NetworkWidgetService.exe 서비스 프로세스를 자동 종료할 수 있습니다.

 

(b) Windows 작업 관리자를 실행하여 NetworkWidget.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "NetworkWidget" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - NetworkWidget = "C:\ProgramData\NetworkWidget\NetworkWidget.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
NetworkWidget
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NetworkWidgetService.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - NetworkWidget = C:\ProgramData\NetworkWidget\NetworkWidget.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetworkWidgetService

 

"NetworkWidget" 검색 도우미 프로그램은 인터넷 검색시 원치 않는 광고창을 다수 생성하여 불편을 유발할 수 있으며, 프로그램 이름으로는 광고 프로그램으로 판단하기 쉽지 않으므로 주의하시기 바랍니다.

728x90
반응형