울지않는벌새 : Security, Movie & Society

검색 도우미 : 웹컴파스(WebCompass)

벌새::Analysis
● 1차 작성 : 2009년 11월 10일
● 2차 작성 : 2010년 4월 19일 (프로그램 구성 일부 변경으로 인한 전체 수정)

국내에서 제작된 검색 도우미 및 적립금 프로그램 웹컴파스(WebCompass) 제품에 대해 살펴보도록 하겠습니다.

1차 작성 당시에 비해 현재 해당 프로그램(MD5 : 889a8d3843e819001fe8282d770be63e)은 설치시 사용자가 확인하기 어렵게 베스트애니메 툴바 프로그램을 추가적으로 설치하고 있는 것을 확인할 수 있습니다.

[생성 파일 진단 정보]

C:\Program Files\RewardNet\rnutil.dll (ViRobot : Adware.RewardNet.75536)

해당 프로그램이 설치된 환경에서는 WebCompass 프로그램 이외에 XLToolbar 폴더 내부에 베스트애니메 툴바 프로그램을 설치하고 있으며, 웹컴파스 프로그램에 존재하던 기능으로 추정되는 적립금(리워드) 기능으로 RewardNet 폴더에 rnutil.dll 파일을 추가하고 있습니다. 하지만 rnutil.dll 파일은 실제 동작은 하지 않는 것(BHO 등록 정보 확인 불가)으로 보입니다.

[관련 URL 정보]

h**p://xmlconf.web*******.co.kr/codebase/websetup/webcompass/WSbestanime.xml
h**p://affiliate.web*******.co.kr/affiliate/webcompass/pop.php?affiliate_id=bestanime
h**p://www.web*******.co.kr/etc/protection_frm.htm
h**p://www.web*******.co.kr/etc/provision_frm.htm
h**p://codebase.reward*******.net/codebase/ISWebCP.exe
h**p://search-log.web*******.co.kr/log/count.php?company=bestanime&GUID={06D14443-F538-459B-99F9-D9892BEE1285}&InsTime=(사용자 설치 시간)
h**p://reward-log.web*******.co.kr/log/count.php?company=bestanime&GUID={06D14443-F538-459B-99F9-D9892BEE1285}&InsTime=(사용자 설치 시간)
h**p://search-www.web*******.co.kr/register/count.php?affiliate_id=bestanime
h**p://reward-www.web*******.co.kr/register/webcompass/count.php?affiliate_id=bestanime
h**p://reward-www.web*******.co.kr/register/webcompass/register_patch.php?affiliate_id=bestanime
h**p://codebase.reward*******.net/codebase/ISxltoolbar.exe
h**p://xmlconf.reward*******.net/codebase/websetup/WSbestanime.xml
h**p://config.xl*******.co.kr/config/config5.php?affiliate_id=bestanime
h**p://reward-up.web*******.co.kr/update/data.rwd
h**p://log.xl*******.co.kr/log/count.php?Associate=bestanime&GUID={3FCB6C92-8541-4FA4-8F40-F8E34F0B7892}&InsDateTime=(사용자 설치 시간)
h**p://www.xl*******.co.kr/register/count.php?affiliate_id=bestanime&dummy=undefined
h**p://search-up.web*******.co.kr/update/affiliate/webcompass/webcompass.ts1
h**p://search-log.web*******.co.kr/log/active.php?Associate=bestanime&GUID={06D14443-F538-459B-99F9-D9892BEE1285}&InsDateTime=(사용자 설치 시간)
h**p://update.xl*******.co.kr/update/webguide.ts1
h**p://log.xl*******.co.kr/log/active.php?Associate=bestanime&GUID={3FCB6C92-8541-4FA4-8F40-F8E34F0B7892}&InsDateTime=(사용자 설치 시간)
h**p://update.reward*******.net/codebase/rnutil.dll

프로그램의 기본 동작 방식은 WebCompass 프로그램의 wcsv.dll 파일을 서비스 항목에 WebCompass Updater Service 이름으로 등록하여 Windows 시작시 자동으로 실행되도록 구성되어 있습니다.

서비스 항목에 등록된 파일은 svchost.exe 프로세스에 추가되어 동작을 하며, 메모리에 상주하도록 구성되어 있습니다.

또한 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 wc_rwd_1p.dll / wc_src_1m.dll 2개의 파일을 BHO 방식으로 추가하여 WebCompass 프로그램을 동작하도록 구성되어 있습니다.

실제 프로그램의 동작은 Internet Explorer 도구 모음에 [베스트애니메 툴바]가 추가되는 것을 확인할 수 있습니다.

또한 사용자가 검색 사이트에서 특정 검색어를 입력할 경우 웹 브라우저 하단에 관련 추천 사이트 및 광고가 생성되는 것을 확인할 수 있습니다.

[WebCompass 서비스 등록 해제]

regsvr32 /u "C:\Program Files\WebCompass\wcsv.dll"

프로그램 삭제시에는 해당 프로그램의 동작 방식이 서비스 항목으로 wcsv.dll 파일을 등록하고 있으므로, 그림과 같이 해당 서비스 등록 정보를 해제하신 후 프로그램을 삭제하시면 안전하게 삭제가 가능합니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [리워드넷 툴바 - 베스트애니메 툴바] 삭제 항목과 [WebCompass] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Program Files\RewardNet
C:\Program Files\RewardNet\rnutil.dll
C:\Program Files\WebCompass
C:\Program Files\XLToolbar
%(사용자 계정)%\Local Settings\Temp\ISbestanime.exe
%(사용자 계정)%\Local Settings\Temp\WSbestanime.xml

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{0843ADDF-44B4-427D-BEB7-865F5DC625B5}
HKEY_CLASSES_ROOT\CLSID\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
HKEY_CLASSES_ROOT\CLSID\{43E33D2F-05E3-45F5-91DA-16B3632D1C1B}
HKEY_CLASSES_ROOT\CLSID\{A0B73C9D-78A6-36C7-B365-104FE04FD373}
HKEY_CLASSES_ROOT\CLSID\{D6112BF8-8F9F-4b42-AC9C-9900EBB895C3}
HKEY_CLASSES_ROOT\CLSID\{D6112BF8-8F9F-4b42-AC9C-9900EBB895F3}
HKEY_CLASSES_ROOT\CLSID\{DF301EBA-70DE-376D-A3CE-777429C9D703}
HKEY_CLASSES_ROOT\CLSID\{DF301EBA-70DE-376D-A3CE-777429C9D705}
HKEY_CLASSES_ROOT\CLSID\{EA1B77B3-505A-4F0D-95A2-EB7C46F7FE90}
HKEY_CLASSES_ROOT\Interface\{A0B73C9D-78A6-36C7-B365-104FE04FD371}
HKEY_CLASSES_ROOT\Interface\{A0B73C9D-78A6-36C7-B365-104FE04FD376}
HKEY_CLASSES_ROOT\Interface\{A264B391-335A-457F-9655-19F351A937F4}
HKEY_CLASSES_ROOT\Interface\{C7121624-D21B-4CB8-B963-D841728A9F6A}
HKEY_CLASSES_ROOT\Interface\{D155F61F-B7F1-4D06-B203-C231DC17388C}
HKEY_CLASSES_ROOT\Interface\{D6112BF8-8F9F-4B42-AC9C-9900EBB895C1}
HKEY_CLASSES_ROOT\Interface\{D6112BF8-8F9F-4B42-AC9C-9900EBB895F1}
HKEY_CLASSES_ROOT\Interface\{DF301EBA-70DE-376D-A3CE-777429C9D701}
HKEY_CLASSES_ROOT\Interface\{DF301EBA-70DE-376D-A3CE-777429C9D704}
HKEY_CLASSES_ROOT\Interface\{EA1B77B3-505A-4F0D-95A2-EB7C46F7FE92}
HKEY_CLASSES_ROOT\LiteBand.Band
HKEY_CLASSES_ROOT\RewardBand.Band
HKEY_CLASSES_ROOT\RewardBHO.Bar
HKEY_CLASSES_ROOT\RewardNetwork.InfoBand
HKEY_CLASSES_ROOT\RewardNetwork.InfoBand.1
HKEY_CLASSES_ROOT\RewardNetwork.InfoBandObj
HKEY_CLASSES_ROOT\RewardNetwork.InfoBandObj.1
HKEY_CLASSES_ROOT\RewardNetwork.InHelper
HKEY_CLASSES_ROOT\RewardNetwork.InHelper.1
HKEY_CLASSES_ROOT\RewardNetwork.Utility
HKEY_CLASSES_ROOT\RewardNetwork.Utility.1
HKEY_CLASSES_ROOT\RewardNetwork.XLToolbar
HKEY_CLASSES_ROOT\RewardNetwork.XLToolbar.1
HKEY_CLASSES_ROOT\SearchBHO.Bar
HKEY_CLASSES_ROOT\TypeLib\{4011C355-ED27-49DC-9E66-89913C211988}
HKEY_CLASSES_ROOT\TypeLib\{4033C6A6-84EE-4E1C-AD67-79F11A5CFAB5}
HKEY_CLASSES_ROOT\TypeLib\{A0B73C9D-78A6-36C7-B365-104FE04FD372}
HKEY_CLASSES_ROOT\TypeLib\{D6112BF8-8F9F-4B42-AC9C-9900EBB895C2}
HKEY_CLASSES_ROOT\TypeLib\{D6112BF8-8F9F-4B42-AC9C-9900EBB895F2}
HKEY_CLASSES_ROOT\TypeLib\{D8302FD2-8D16-4F0C-BFF5-66F283A068FA}
HKEY_CLASSES_ROOT\TypeLib\{DF301EBA-70DE-376D-A3CE-777429C9D702}
HKEY_CLASSES_ROOT\TypeLib\{EA1B77B3-505A-4F0D-95A2-EB7C46F7FE91}
HKEY_CLASSES_ROOT\Xltoolbar.Utility
HKEY_CLASSES_ROOT\Xltoolbar.Utility.1
HKEY_CURRENT_USER\Software\AppDataLow\Software\WebCompass
HKEY_CURRENT_USER\Software\AppDataLow\Software\XLToolBar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - *.webcompass.co.kr
 - *.xltoolbar.co.kr

HKEY_CURRENT_USER\Software\WebCompass
HKEY_CURRENT_USER\Software\XLToolBar
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Toolbar
 - {A0B73C9D-78A6-36C7-B365-104FE04FD373}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WebCompass = wcsv
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EA1B77B3-505A-4F0D-95A2-EB7C46F7FE90}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\WebCompass_is1
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\리워드넷 툴바_is1
HKEY_LOCAL_MACHINE\software\RewardNet
HKEY_LOCAL_MACHINE\software\WebCompass
HKEY_LOCAL_MACHINE\software\XLToolBar
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wcsv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wcsv

해당 프로그램은 하나의 프로그램 설치로 인하여 추가적으로 사용자가 제대로 인지하지 못하는 툴바(Toolbar) 프로그램이 설치되는 등의 문제가 존재하는 것으로 보이므로, 제휴(스폰서) 프로그램을 설치하실 때 주의하시기 바랍니다.