울지않는벌새 : Security, Movie & Society

검색 도우미 : 웹컴파스(WebCompass) 1.0.2.1

벌새::Analysis
국내에서 제작되어 인터넷 검색시 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 웹컴파스(WebCompass) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2009년~2010년경에도 한 차례 살펴보았을 정도로 오랫동안 배포가 이루어지고 있으며, 유사한 성격의 웹가이드(WebGuide) 프로그램이 존재하므로 참고하시기 바랍니다.

최근에 배포되는 설치 파일(MD5 : cb52ceae181823ee1cff8c9c223596c3)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.WebCompass (VirusTotal : 1/43) 진단명으로 유해 가능 프로그램으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Program Files\WebCompass
C:\Program Files\WebCompass\data.src
C:\Program Files\WebCompass\free.exe
C:\Program Files\WebCompass\Log.txt
C:\Program Files\WebCompass\sqlite3.dll
C:\Program Files\WebCompass\unins000.dat
C:\Program Files\WebCompass\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\WebCompass\update.dat
C:\Program Files\WebCompass\update.exe
C:\Program Files\WebCompass\wc_src_3fd.dll :: BHO 등록 파일
C:\Program Files\WebCompass\wcmgr.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\WebCompass\wcsvc.dll :: 서비스 등록 파일
[생성 파일 진단 정보]

C:\Program Files\WebCompass\update.exe
 - MD5 : f90e69a8a91d5d2da84b7e4d60763e33
 - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/43)

C:\Program Files\WebCompass\wcmgr.exe
 - MD5 : 2ea7949e12b0e775372d7313ff53b5fe
 - AhnLab V3 : Win-PUP/Helper.WebCompass.670392 (VirusTotal : 2/43)

C:\Program Files\WebCompass\wcsvc.dll
 - MD5 : b3551db5498f36995d0765b6da34a5ad
 - AhnLab V3 : PUP/Win32.WebGuide (VirusTotal : 1/43)

※ PUP/Win32 또는 Win-PUP 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.

 

해당 프로그램은 Windows 시작시 wcmgr.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 추가적으로 wcsvc.dll 파일을 svchost.exe 서비스 프로세스에 추가하여 자동 실행되도록 구성되어 있습니다.

시스템 시작 후 프로세스 정보를 확인해보면 그림과 같이 시작 프로그램으로 등록된 wcmgr.exe 프로세스는 업데이트 체크 후 메모리에 상주하며, svchost.exe 프로세스가 추가적으로 하나 더 생성된 것을 확인할 수 있습니다.

참고로 서비스(services.msc)에 등록된 정보를 살펴보면 wcsvc(WebCompass Manager Service) 항목이 시스템 시작시 자동으로 실행되는 것을 확인할 수 있습니다.

WebCompass 프로그램은 Internet Explorer 웹 브라우저의 명령 모음에 옥션, G마켓, 11번가 바로가기 아이콘이 등록되는 동작이 있습니다.

또한 인터넷 검색시 웹 브라우저 상단에 다양한 모양의 광고바를 생성하며, 해당 광고를 통해 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.

프로그램이 설치된 환경에서 인터넷을 이용하던 과정에서 그림과 같은 WC_SRC~1.DLL과 관련된 충돌 문제가 발생하는 경우도 발생하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : WebCompass Search Class
게시자 : Datawave System Inc.
CLSID : {2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
파일 : C:\Program Files\WebCompass\wc_src_3fd.dll

이름 : 웹컴파스 11번가 바로가기
CLSID : {68C04328-167E-446A-AC57-4A04DAD74BDC}

이름 : 웹컴파스 옥션 바로가기
CLSID : {A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}

이름 : 웹컴파스 G마켓 바로가기
CLSID : {E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}

 

해당 프로그램의 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 WebCompass Search Class, 웹컴파스 11번가 바로가기, 웹컴파스 옥션 바로가기, 웹컴파스 G마켓 바로가기 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

참고로 명령 모음에 등록된 쇼핑몰 바로가기의 경우 하나의 바로가기 항목을 사용 안 함으로 변경할 경우 나머지 바로가기 기능도 일괄적으로 중지되므로 참고하시기 바랍니다.

외부 제보에 따르면 해당 프로그램이 설치된 일부 환경에서는 메모리에 상주하는 wcmgr.exe 프로세스가 특정 조건에서 CPU 100%로 치솟는 문제로 인하여 정상적인 PC 사용이 불가능할 정도라고 하였습니다.

이런 문제로 인해 사용자들이 Windows 작업 관리자에서 wcmgr.exe 프로세스를 수동으로 종료를 할 경우 자동으로 복원이 되는 문제로 프로세스 종료가 되지 않는 점을 언급해 주셨습니다.

실제 테스트를 해보면 wcmgr.exe 프로세스를 종료하면 자동으로 svchost.exe(wcsvc(WebCompass Manager Service) 서비스 프로세스) 프로세스 자식으로 wcmgr.exe 프로세스가 되살아나는 현상을 확인할 수 있습니다.

그러므로 wcmgr.exe 프로세스 종료를 위해서는 먼저 실행창에 [sc stop "wcsvc"] 명령어를 이용하여 wcsvc(WebCompass Manager Service) 서비스를 중지한 후 Windows 작업 관리자에서 wcmgr.exe 프로세스를 수동으로 종료하시면 문제가 해결됩니다.

프로그램 삭제시에는 ① wcsvc(WebCompass Manager Service) 서비스 중지 ② wcmgr.exe 프로세스 종료 ③ Internet Explorer 웹 브라우저 종료를 한 후, 제어판의 [WebCompass(웹컴파스)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\AppDataLow\Software\WebCompass
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - *.webcompass.co.kr
HKEY_CURRENT_USER\Software\WCLauncher
HKEY_CURRENT_USER\Software\WebCompass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A264B391-335A-457F-9655-19F351A937F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchBHO.Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4011C355-ED27-49DC-9E66-89913C211988}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{68C04328-167E-446A-AC57-4A04DAD74BDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wcmgr.exe = C:\Program Files\WebCompass\wcmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WebCompass(웹컴파스)_is1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
 - WCService = wcsvc
HKEY_LOCAL_MACHINE\SOFTWARE\RewardNet
HKEY_LOCAL_MACHINE\SOFTWARE\WebCompass
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WCSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wcsvc

해당 프로그램이 설치된 경우 Windows 종료시에 wcmgr.exe 프로세스가 정상적으로 종료되지 않는 문제나 프로그램 목록에 제시되지 않아서 사용자가 프로그램 설치 여부를 확인하기 어렵다는 문제가 있습니다.

특히 일부 시스템 환경에 따라서는 인터넷 이용 과정에서 오류 유발, 광고로 인한 인터넷 속도 저하 등의 문제가 발생할 수 있으므로 원치 않는 분들은 해당 내용을 참고하여 삭제하시기 바랍니다.