본문 바로가기

벌새::Analysis

국내 악성코드 : 와이즈링크(WiseLink)

반응형
국내에서 제작되어 제휴(스폰서) 프로그램 등의 방식으로 설치가 이루어지고 있는 것으로 추정되는 검색 도우미 와이즈링크(WiseLink) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : b31abeffbf90547d5a07d0d0539c2609)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Win-Downloader/WiseLink.352256 (VirusTotal : 22/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 파일 진단 정보]

C:\Program Files\wiselink\sgwc.dll (AhnLab V3 : Win-Adware/CloverPlus.299008)
C:\Program Files\wiselink\sgwc.exe (AhnLab V3 : Win-Downloader/CloverPlus.163840.B)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\duo[1].dll (AhnLab V3 : Win-Adware/CloverPlus.299008)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temporary Internet Files\Content.IE5\(Random)\duo[1].exe (AhnLab V3 : Win-Downloader/CloverPlus.163840.B)

해당 프로그램은 Windows 시작시 sgwc.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, sgwc.exe 프로세스는 메모리에 상주하도록 구성되어 있습니다.

[관련 URL 정보]

h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=install&target=1
h**p://www.naver.com/
h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=load&target=1
h**p://config.korea*********.com/wiselink/chklog.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/sg.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/mod/duo.exe
h**p://config.korea*********.com/wiselink/mod/duo.dll
h**p://cnt.clover****.com/log_progress.php?client=wiselink_file119&action=update&target=1
h**p://www.daum.net/
h**p://config.korea*********.com/wiselink/chklog.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/sg.php?ovt=wiselink_file119
h**p://config.korea*********.com/wiselink/ulist.php

프로그램은 설치시 또는 초기 동작시 네이버(Naver), 다음(Daum)에 쿼리를 요청하는 동작을 통해 사용자가 인터넷 상에서 특정 검색을 시도할 경우 광고 코드를 포함한 추천 사이트 광고를 생성하여 수익을 발생시킬 것으로 추정됩니다.

와이즈링크(WiseLink)
 - 게시자 : 알 수 없음
 - CLSID : {AF1E9AFB-8229-4EB2-A28B-AED3FE01EF6C}
 - C:\Program Files\wiselink\sgwc.dll

테스트 과정에서는 외형적인 동작을 확인하지 못하였지만, 프로그램 구성으로 추정해보면 웹 브라우저 상에서 사이드바 생성 동작이 있을 것으로 생각됩니다.

프로그램 삭제시에는 작업 관리자에서 sgwc.exe 프로세스 수동 종료 및 Internet Explorer를 완전히 종료한 상태에서 제어판의 [와이즈링크(WiseLink)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

해당 프로그램의 삭제 파일은 프로그램 설치 폴더가 아닌 [C:\WINDOWS\wiselink_uninstall.exe] 파일로 존재하므로, 제어판의 삭제 항목이 존재하지 않을 경우에는 해당 파일을 수동으로 실행하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 wiselink_uninstall.exe 파일을 수동으로 삭제하시기 바라며, 인터넷 임시 폴더를 비우시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{AF1E9AFB-8229-4eb2-A28B-AED3FE01EF6C}
HKEY_CLASSES_ROOT\WiseLink.WiseLink
HKEY_CLASSES_ROOT\WiseLink.WiseLink.1
HKEY_CURRENT_USER\Software\Microsoft\cad5455c
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{AF1E9AFB-8229-4eb2-A28B-AED3FE01EF6C}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - sgwc_5031 = C:\Program Files\wiselink\sgwc.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\wiselink

해당 프로그램은 사용자가 제대로 인지하지 못하는 과정에서 설치가 되어 인터넷을 사용하는 과정에서 실질적인 동작이 이루어진다는 점에서 사용자들에게 불편을 야기할 수 있으리라 생각됩니다.

728x90
반응형
  • 저는 요즘 인터넷이 이유없이 느려지는 경우가 종종 생깁니다.
    날 잡아서 이리저리 파일들 좀 순찰해야겠어요. 정말 환장하겠습니다. -_-;;

    • 특별한 이유없이 인터넷 속도가 느려지는 경우에는 그리드 방식의 프로그램이 설치되어 있는지 확인이 필요합니다.

      사용자가 웹하드쪽 프로그램을 많이 설치하셨다면 충분히 그럴 수 있습니다.

  • 오늘악성코드에 wiselink 라고 발견됬네요..
    프로그램제거목록에는 없던데..
    숨어 살고있는건지;; 원 정체를 밝혀낼수가없군요 ㅜㅜ...