제휴 프로그램 등의 다양한 배포 방식을 통해 설치가 이루어진 것으로 추정되는 국내에서 제작된 "winiesearch 1.00" 프로그램은 광고 기능보다는 차후 사용자 몰래 추가적인 광고 프로그램을 설치하는 것으로 보입니다.

"winiesearch 1.00" 프로그램(SHA-1 : 240ccd5f18a22d0f1f7f643b0e870f00aea83c1b)은 2014년 3월 11일경 집중적으로 배포가 이루어졌으며 avast! 보안 제품에서는 Win32:VB-UTQ [Trj] (VT : 20/46) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\winiesearch
C:\Program Files\winiesearch\openservice.dll :: BHO 등록 파일
C:\Program Files\winiesearch\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\winiesearch\Uninstall.ini
C:\Windows\System32\openservicep.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\winiesearch\openservice.dll
 - SHA-1 : 4d32a66f887cbeedbb5a99f0dd5ab74334789350
 - avast! : Win32:VB-UTQ [Trj] (VT : 5/51)

"OCEAN INC Co.,Ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\winiesearch" 폴더에 주요 파일을 생성하며 기본적으로 다음과 같은 방식으로 동작할 수 있습니다.

 

이름

 openserviceprg.openservice

게시자

 OCEAN INC Co.,Ltd.

유형

 브라우저 도우미 개체

CLSID

 {1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}

파일

 C:\Program Files\winiesearch\openservice.dll

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 "openserviceprg.openservice" 브라우저 도우미 개체(BHO)를 등록하여 "C:\Program Files\winiesearch\openservice.dll" 파일을 로딩합니다.

이를 통해 특정 IP 서버에 등록된 OpenService 값을 체크하며 서버에 추가적인 파일이 등록되어 있는 경우 사용자 몰래 다운로드 및 실행하여 추가적인 광고 프로그램을 설치할 수 있습니다.

  • h**p://121.78.93.27/~paran/down/cleverup.exe (SHA-1 : 19e97fe9319115058b5fd4ad396ca15e8d776f46) - MSE : Trojan:Win32/Msidebar.C
  • h**p://121.78.93.27/~paran/down/ncpup.exe (SHA-1 : 9838f6b57e8c586d436a7d27e15fb8c333a3f7a9) - Kaspersky : Trojan-Downloader.Win32.Fosniw.arbt
  • h**p://121.78.93.27/~paran/down/cleverocup.exe (SHA-1 : d2b5a8a7cfde71ccdfccfc526272baf4d283bcba) - avast! : Win32:VB-ADJE [Trj]
  • h**p://121.78.93.27/~paran/down/cpsetup.exe (SHA-1 : 13f503c6d5672464f33442b075c765337f2287a0) - Kaspersky : not-a-virus:AdWare.Win32.VB.il
  • h**p://121.78.93.27/~paran/down/goosearchup.exe (SHA-1 : c2c8e9794bdc0f90a54e51f02e29d82ac82ce3d4) - Kaspersky : Trojan.Win32.Genome.akara
  • h**p://121.78.93.27/~paran/down/topsearchdtn.exe (SHA-1 : 22bed11bcde9cc22a30cc8c0e550820320292f05) - Kaspersky : not-a-virus:AdWare.Win32.VB.kp
  • h**p://121.78.93.27/~paran/down/winsearchgmna.exe (SHA-1 : 3919649c7c0a6eeecf8c3c678d076c42e93d0091) - AhnLab V3 : Adware/Win32.VB
  • h**p://121.78.93.27/~paran/down/opensearchinst.exe (SHA-1 : 37f6fc8c4833ee49407e96fd0f57dd0b79b1b452) - Kaspersky : Trojan-Downloader.Win32.Agent.xtrx
  • h**p://121.78.93.27/~paran/down/winsearchchi.exe (SHA-1 : 0c0beb22ffc2d11890ba56bc184d1f929e204065) - Kaspersky : not-a-virus:AdWare.Win32.Loadwar.ckm
  • h**p://121.78.93.27/~paran/down/gooslegummup.exe (SHA-1 : d3ba0383b5dc214f95c99b6062881723d0a06d8d) - Kaspersky : Trojan.Win32.Genome.ahvka

참고로 2012년 8월경부터 2013년 11월경까지 확인된 대표적인 유포 파일을 조사해보니 다수가 존재하였던 것으로 확인되고 있습니다.

이릍 통해 추가적으로 설치된 광고 프로그램은 "C:\Windows\System32\openservicep.dll" 파일(SHA-1 : b80912f4a57d72c0284dc521c8ef74089794e20c)과 조합되어 인터넷 검색시 특정 광고 검색 서비스로 연결될 수 있을 것으로 추정됩니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "winiesearch 1.00" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\winiesearch
  • C:\Program Files\winiesearch\openservice.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{331C21F2-C710-49AF-9E64-EBFC0D055FF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\openserviceprg.openservice
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F7CF7E19-F22D-4E3A-A798-BCC649D361C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winiesearch 1.00

"winiesearch 1.00" 프로그램이 설치된 일부 환경에서는 프로그램의 저품질로 인하여 Windows 탐색기 오픈시 오류가 발생할 수 있으며, 배포자의 의도에 따라 원치않는 프로그램이 설치될 수 있으므로 주의하시기 바랍니다.

 

 
블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..