본문 바로가기

벌새::Analysis

국내 악성코드 : 와이즈링크(WiseLink)

반응형
국내에서 제작되어 제휴(스폰서) 프로그램 등의 방식으로 설치가 이루어지고 있는 것으로 추정되는 검색 도우미 와이즈링크(WiseLink) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : b31abeffbf90547d5a07d0d0539c2609)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseLink.352256 (VirusTotal : 22/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 진단 정보]

C:\Program Files\wiselink\sgwc.dll (AhnLab V3 : Win-Adware/CloverPlus.299008)
C:\Program Files\wiselink\sgwc.exe (AhnLab V3 : Win-Downloader/CloverPlus.163840.B)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\duo[1].dll (AhnLab V3 : Win-Adware/CloverPlus.299008)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\duo[1].exe (AhnLab V3 : Win-Downloader/CloverPlus.163840.B)

해당 프로그램은 Windows 시작시 sgwc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, sgwc.exe 프로세스는 메모리에 상주하도록 구성되어 있습니다.

[관련 URL 정보]

h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=install&target=1
h**p://www.naver.com/
h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=load&target=1
h**p://config.korea*********.com/wiselink/chklog.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/sg.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/mod/duo.exe
h**p://config.korea*********.com/wiselink/mod/duo.dll
h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=update&target=1
h**p://www.daum.net/
h**p://config.korea*********.com/wiselink/chklog.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/sg.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/ulist.php

프로그램은 설치시 또는 초기 동작시 네이버(Naver), 다음(Daum)에 쿼리를 요청하는 동작을 통해 사용자가 인터넷 상에서 특정 검색을 시도할 경우 광고 코드를 포함한 추천 사이트 광고를 생성하여 수익을 발생시킬 것으로 추정됩니다.

와이즈링크(WiseLink)
 - 게시자 : 알 수 없음
 - CLSID : {AF1E9AFB-8229-4EB2-A28B-AED3FE01EF6C}
 - C:\Program Files\wiselink\sgwc.dll

테스트 과정에서는 외형적인 동작을 확인하지 못하였지만, 프로그램 구성으로 추정해보면 웹 브라우저 상에서 사이드바 생성 동작이 있을 것으로 생각됩니다.

프로그램 삭제시에는 작업 관리자에서 sgwc.exe 프로세스 수동 종료 및 Internet Explorer를 완전히 종료한 상태에서 제어판의 [와이즈링크(WiseLink)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

해당 프로그램의 삭제 파일은 프로그램 설치 폴더가 아닌 [C:\WINDOWS\wiselink_uninstall.exe] 파일로 존재하므로, 제어판의 삭제 항목이 존재하지 않을 경우에는 해당 파일을 수동으로 실행하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 wiselink_uninstall.exe 파일을 수동으로 삭제하시기 바라며, 인터넷 임시 폴더를 비우시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{AF1E9AFB-8229-4eb2-A28B-AED3FE01EF6C}
HKEY_CLASSES_ROOT\WiseLink.WiseLink
HKEY_CLASSES_ROOT\WiseLink.WiseLink.1
HKEY_CURRENT_USER\Software\Microsoft\cad5455c
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{AF1E9AFB-8229-4eb2-A28B-AED3FE01EF6C}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sgwc_5031 = C:\Program Files\wiselink\sgwc.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\wiselink

해당 프로그램은 사용자가 제대로 인지하지 못하는 과정에서 설치가 되어 인터넷을 사용하는 과정에서 실질적인 동작이 이루어진다는 점에서 사용자들에게 불편을 야기할 수 있으리라 생각됩니다.

728x90
반응형