본문 바로가기

벌새::Analysis

검색 도우미 : WebManager

국내 유명 코덱 프로그램의 제휴(스폰서) 프로그램 방식으로 배포가 이루어지고 있는 검색 도우미 WebManager 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 8f1d352000fcf88e506d2d063f1c7765)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Genome (VirusTotal : 22/41) 진단명으로 차단을 하고 있는 것을 확인할 수 있습니다.

참고로 이전에 살펴본 검색 도우미 프로그램과 유사성이 매우 높으므로 참조하시기 바랍니다.

[생성 파일 진단 정보]

C:\WINDOWS\system32\wincf4.dat (AhnLab V3 : Trojan/Win32.Overtls)

해당 프로그램은 사용자가 Internet Explorer를 실행하였을 경우에 동작하는 방식으로 구성되어 있으며, 실제 동작 방식을 살펴보면 사용자가 특정 검색어를 통해 검색 결과창을 열었을 경우 웹 브라우저 하단에 추천 사이트 광고가 생성되는 것을 확인할 수 있습니다.

해당 광고바에서는 어떤 프로그램을 통해 동작하는지 사용자 입장에서 알 수 없다는 문제가 있습니다.

[추가 기능 관리 : WebManager 도구 모음 및 확장 프로그램]

WinLM4G : wincf4.dat 파일 등록
webmanager Class : webmanager.dll 파일 등록

Internet Explorer에서 제공하는 추가 기능 관리에 등록된 정보에서는 게시자를 알 수 없는 2개의 컨트롤이 등록되어 있는 것을 확인할 수 있습니다.

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 webmanager.dll / wincf4.dat 2개의 파일이 BHO 방식으로 등록되어 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [webmanager] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\system32\wincf4.dat] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\webmanager.DLL
HKEY_CLASSES_ROOT\AppID\{80FEF388-CEC2-491C-A6C1-54BB8C0ED620}
HKEY_CLASSES_ROOT\CLSID\{393E4C48-079B-46C4-B096-3F6396D2EBDD}
HKEY_CLASSES_ROOT\CLSID\{3973110E-76FF-4325-A7A0-38EFD2AA4D01}
HKEY_CLASSES_ROOT\Interface\{EC8669D5-DD33-4940-AFBA-EF2AEABB94C5}
HKEY_CLASSES_ROOT\TypeLib\{5C2BD9B4-CF46-4958-9A61-AD2C537E900D}
HKEY_CLASSES_ROOT\webmanager.webmanager
HKEY_CLASSES_ROOT\webmanager.webmanager.1
HKEY_CLASSES_ROOT\wincf4.WinLM4G2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{393E4C48-079B-46C4-B096-3F6396D2EBDD}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3973110E-76FF-4325-A7A0-38EFD2AA4D01}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
webmanager

HKEY_LOCAL_MACHINE\SOFTWARE\webmanager