포털 사이트 메인 페이지의 좌측 영역에 "powered by WIZBIZ" 광고 배너를 생성하는 국내에서 제작된 위즈비즈(wizbiz uninstall) 광고 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존의 ORUM, OrumMedia 계열의 광고 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
대표적인 배포 방식은 특정 웹 사이트에서 제공하는 "WizBiz" ActiveX 설치 방식으로 진행되며, 사용자 동의를 통해 설치가 진행될 경우 특정 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\WizBiz\WizBizSetup.exe" 파일<SHA-1 : 3c4f3b8c0bac8788dd40a66e6b281b04f974e5ad - Hauri ViRobot : Adware.WizBiz.64088[h] (VT : 5/56)>로 임시 생성한 후 프로그램 설치가 완료되면 자동 삭제 처리됩니다.
참고로 프로그램 설치 과정에서는 관련 파일은 특정 서버에서 추가적인 다운로드를 통해 생성됩니다.
[생성 폴더 / 파일 등록 정보]
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\Mtodt.tmd
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\mu.dll
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\version.txt
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wizbiz.dat
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wizbiz.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wizbiz.ini
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzLauncher.exe
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzLauncher.log
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzMon.exe :: 서비스(wzMonService) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzUninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzUpdate.exe
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzUpdate.log
C:\Windows\Downloaded Program Files\WizBizControl.dll
C:\Windows\Downloaded Program Files\WizBizControl.inf
[생성 파일 진단 정보]
C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzMon.exe
- SHA-1 : b1ab3361b4814c773cca1082dd30afded214662f
- Hauri ViRobot : Adware.Agent.105048[h] (VT : 1/56)
"S. W. NETWORKS" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wizbiz" 폴더에 파일을 생성합니다.
"wzMonService (표시 이름 : wzMonService)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\wizbiz\wzMon.exe" 파일을 자동 실행하도록 구성되어 있습니다.
이를 통해 wzUpdate.exe 파일(SHA-1 : f60fdc17634f94d491fa4be5e851672fae5e66a6)과 wzLauncher.exe 파일(SHA-1 : d663414bfb82502127d59575562a0c9da4631009)을 통해 프로그램 버전 체크를 통한 업데이트를 수행한 후 광고 기능을 수행하는 wizbiz.exe 파일(SHA-1 : d8edb11f928df0fb1b1383096739c02aa0eb6023)을 메모리에 상주시킵니다.
해당 광고 프로그램이 설치된 환경에서는 네이버(Naver), 네이트(Nate), 다음(Daum), 줌(Zum) 포털 메인 페이지 접속시 좌측 사이드 영역에 "powered by WIZBIZ" 광고 배너를 생성하여 인터넷 쇼핑몰로 접속을 유도할 수 있습니다.
■ "wizbiz uninstall" 광고 프로그램 삭제 방법
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "wzMonService"] 명령어를 입력 및 실행하여 자동으로 wzMon.exe 프로세스를 종료하시기 바랍니다.
이후 Windows 작업 관리자를 실행하여 메모리에 상주하는 wizbiz.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 실행 중인 웹 브라우저를 종료한 후 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "wizbiz uninstall" 삭제 항목을 이용하여 제거할 수 있습니다.
프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Roaming\wizbiz" 폴더를 찾아 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{4CEF2118-3886-4A15-81DB-077C9DC6B547}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WizBizControl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E7ED050B-728E-4469-A7A9-38678B4605BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{49C5BC2C-444D-423A-ADAB-CACF2A8B9968}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{984D1315-EAFD-4176-BB1E-D75977EDC07B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7E97577D-C7BE-4530-9637-6B7EAB4892FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WizBizControl.Launcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WizBizControl.Launcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E7ED050B-728E-4469-A7A9-38678B4605BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/WizBizControl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
- C:\Windows\Downloaded Program Files\WizBizControl.dll = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wizbiz
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wzMonServiceActiveX 배포 방식으로 설치될 경우 설치되는 프로그램이 정확하게 어떤 기능을 수행하는지 사전에 파악하기 힘들 수 있으며, 포털 메인 페이지에 노출되는 광고 배너가 PC에 설치된 광고 프로그램으로 인해 생성되는지 제대로 인지하지 못할 수 있으므로 주의하시기 바랍니다.