본문 바로가기

벌새::Analysis

검색 도우미 : Windows Infurnish

반응형

특정 배경색 상단에 "Powered by cloudget" 광고 배너를 생성하거나 광고 팝업창을 생성할 수 있는 국내에서 제작된 "Windows Infurnish" 광고 프로그램(SHA-1 : ff9467a28e3512205b0a022d333c9b2e58cf365f)에 대해 살펴보도록 하겠습니다.

클라우드젯(CloudGet) 광고 프로그램은 유사한 기능을 가진 다양한 이름의 프로그램이 기존부터 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Infurnish
C:\Program Files\Windows Infurnish\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Infurnish\wsinfurnis.dll
C:\Program Files\Windows Infurnish\wsinfurnisp.exe
C:\Program Files\Windows Infurnish\wsinfurnisr.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Infurnish\wsinfurnisv.exe :: 서비스(wsinfurnisv32) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Infurnish\wsinfurnisv.exe
 - SHA-1 : 82751976c8ac2e7fbd3a059a0f9abc0f655c3521
 - AhnLab V3 365 Clinic : PUP/Win32.AboutTab (VT : 1/56)

"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Infurnish" 폴더에 파일을 생성합니다.

"wsinfurnisv32 (표시 이름 : Windows Infurnish Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Infurnish\wsinfurnisv.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(wsinfurnisv.exe)은 2분 30초 가량 대기한 후 광고 기능을 수행하는 "C:\Program Files\Windows Infurnish\wsinfurnisr.exe" 파일(SHA-1 : 6b8aca4b905d4d2100a4471187842a2f6516ddc3)을 로딩하여 프로그램 업데이트 및 광고 구성값 정보를 체크하고 메모리에 상주합니다.

이 과정에서 wsinfurnisr.exe 파일 실행을 통해 함께 로딩된 "C:\Program Files\Windows Infurnish\wsinfurnis.dll" 광고 모듈(SHA-1 : 5ec90729ebb529372aac66fb8c45d222727811b3)은 "C:\Users\(사용자 계정)\AppData\Roaming\wsinfurnis\Cache\(배포 ID)\wsinfurnisk.exe" 파일을 생성하여 광고 팝업창을 생성할 수 있습니다.

 

"Windows Infurnish" 광고 프로그램이 설치된 환경에서는 바탕 화면, 웹 브라우저 배경색을 체크하여 특정 웹 사이트 접속시 우측 사이드 영역에 "Powered by cloudget" 광고 배너를 생성할 수 있을 것으로 추정됩니다.

 

"Windows Infurnish" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 wsinfurnisr.exe 프로세스를 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows Infurnish" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wsinfurnisv32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Infurnish
HKEY_LOCAL_MACHINE\SOFTWARE\wsinfurnis
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wsinfurnisv32

 

인터넷 상에서 다운로드한 파일을 실행하여 프로그램을 설치하실 때에는 추가적으로 설치되는 광고 프로그램이 포함되어 있는지 꼼꼼하게 체크하는 습관을 가지시기 바랍니다.

728x90
반응형