본문 바로가기

벌새::Analysis

검색 도우미 : Windows IE Site Manager

반응형

인터넷 검색 및 웹사이트 접속 시 다양한 광고창을 생성할 수 있는 국내에서 제작된 "Windows IE Site Manager" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 유사한 기능을 가진 기존의 InternetSafeZone 광고 프로그램의 변종이므로 참고하시기 바랍니다.

 

배포 방식을 유추해보면 WiseCommerce 디지털 서명을 사용하는 Microsoft Windows Wise Runner Process Cleaning Runtime - Korean, Windows Network IP Manager 등의 광고 배포용 프로그램을 통해 사용자 몰래 자동으로 설치되었을 것으로 보입니다.

 

배포 프로그램의 업데이트 기능을 통해 "Windows IE Site Manager" 광고 프로그램의 배포 파일(SHA-1 : fb6a0f5d651df86e4e1a3ba79966cd359aed7e01)이 다운로드 및 실행하여 다음과 같은 HTTPS 서버에 등록된 설치 파일을 다운로드합니다.

 

  • h**ps://down.wie**.kr/wiesm/WIESMInstall_20_163.exe (SHA-1 : 7e428fc1a30d2b6dd757377b0301003a2a0b9f87) - ESET : a variant of Win32/Adware.SafeTerra.A

다운로드된 설치 파일은 "C:\Users\(로그인 계정명)\AppData\Roaming\WIESMInstall_20_163.exe" 파일로 생성되어 다음과 같이 프로그램 설치가 진행됩니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\WIESM :: 숨김(H) 속성
C:\Program Files\WIESM\category.dt
C:\Program Files\WIESM\nhopen.dll
C:\Program Files\WIESM\task.xml
C:\Program Files\WIESM\TerraInfo.STR
C:\Program Files\WIESM\timeAdd.dll
C:\Program Files\WIESM\unins000.dat
C:\Program Files\WIESM\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\WIESM\WIESM.exe :: 메모리 상주 프로세스
C:\Program Files\WIESM\WIESMUpdate.exe :: 작업 스케줄러(WIESM) 등록 파일
C:\Users\(로그인 계정명)\AppData\Roaming\WIESMInstall_20_163.exe
C:\Windows\System32\Tasks\WIESM

 

생성 파일 진단 정보

 

C:\Program Files\WIESM\nhopen.dll
 - SHA-1 : 79a3e206a35054de7ff24715c73d0dcf2efa1832
 - AhnLab V3 365 Clinic : PUP/Win32.Helper.R121807

 

C:\Program Files\WIESM\timeAdd.dll
 - SHA-1 : 2c73f7a19bdef674b29b123073cb49fb38b942ba
 - Avira : ADWARE/PopAd.1117184.10

 

C:\Program Files\WIESM\WIESM.exe
 - SHA-1 : 089942e81fce859a9eddaf00cd65545cfa5999c5
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

C:\Users\(로그인 계정명)\AppData\Roaming\WIESMInstall_20_163.exe
 - SHA-1 : 7e428fc1a30d2b6dd757377b0301003a2a0b9f87
 - ESET : a variant of Win32/Adware.SafeTerra.A

 

 

"gaia media group Co., Ltd." 디지털 서명이 포함된 "Windows IE Site Manager" 광고 프로그램은 숨김(H) 속성값을 가진 "C:\Program Files\WIESM" 폴더에 파일을 생성합니다.

 

예약 작업 영역에 WIESM 작업 스케줄러 값을 등록하여 Windows 부팅 시 "C:\Program Files\WIESM\WIESMUpdate.exe" 파일(SHA-1 : b4c03432da3ad5bc38728b4ca88e1a7761522a53)을 자동 실행하여 프로그램 업데이트 체크 및 광고 기능을 수행하는 "C:\Program Files\WIESM\WIESM.exe" 파일을 메모리에 상주시킵니다.

 

"Windows IE Site Manager" 광고 프로그램이 설치된 환경에서 사용자가 인터넷 검색 키워드 값을 체크하여 특정 조건이 만족시킬 경우 광고 수익 목적으로 제작된 특정 웹사이트에 코드를 전송합니다.

 

이를 통해 제휴 코드가 포함된 URL 값을 경유하여 사용자가 인터넷 검색 또는 웹사이트 접속 과정에서 다음과 같은 다양한 광고창을 자동으로 생성할 수 있습니다.

 

 

위와 같은 광고창 생성 행위로 웹브라우저 속도 저하 및 원치않는 사이트 연결로 인하여 불편을 유발할 수 있습니다.

 

"Windows IE Site Manager" 광고 프로그램 삭제 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 WIESM.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판 또는 "체크잇(CheckIt : www.checkitinfo.com)" 프로그램에 등록된 "Windows IE Site Manager" 삭제 항목을 실행하여 프로그램 제거 후 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.

 

  • C:\Program Files\WIESM
  • C:\Users\(로그인 계정명)\AppData\Roaming\WIESMInstall_20_163.exe

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MINIE
 - ShowTabsBelowAddressBar = 0
HKEY_CURRENT_USER\Software\WIESM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2C79A884-1163-4080-A43F-01E269AD06C7}_is1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B9DDD90B-BCE5-4AF8-989D-8FBFAA126BA9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\WIESM

 

 

사용자가 직접 필요에 의해 "Windows IE Site Manager" 광고 프로그램을 설치한 것이 아니라면 사용자 몰래 다수의 광고 프로그램을 자동 설치하는 악성 광고 배포용 프로그램이 설치되어 있을 가능성이 높으므로 Malware Zero Kit (MZK) 도구를 이용하여 검사해 보시길 권장합니다.

728x90
반응형