반응형
국내에서 제작되어 인터넷 검색시 백그라운드 방식으로 광고를 불러온 후, 사용자가 웹 브라우저를 종료하는 시점에서 광고창을 생성하는 검색 도우미 "werpingt - search_ch" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 기존부터 꾸준하게 발견되고 있는 werpingt 시리즈의 변종 프로그램이므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Program Files\search_ch
C:\Program Files\search_ch\AppPopAd.BAT
C:\Program Files\search_ch\AppPopAd.exe
C:\Program Files\search_ch\asycfilt.dll
C:\Program Files\search_ch\COMCAT.DLL
C:\Program Files\search_ch\easysearch.BAT
C:\Program Files\search_ch\INETKO.DLL
C:\Program Files\search_ch\iphlpapi_32.dll
C:\Program Files\search_ch\iphlpapi_64.dll
C:\Program Files\search_ch\mshtml.tlb
C:\Program Files\search_ch\MSINET.OCX
C:\Program Files\search_ch\msvbvm60.dll
C:\Program Files\search_ch\oleaut32.dll
C:\Program Files\search_ch\olepro32.dll
C:\Program Files\search_ch\PrjChoiceLink.DDF
C:\Program Files\search_ch\Project1.DDF
C:\Program Files\search_ch\search_ch.exe
C:\Program Files\search_ch\stdole2.tlb
C:\Program Files\search_ch\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\search_ch\VB6KO.DLL
C:\Program Files\search_ch\VB6STKIT.DLL
C:\Program Files\search_ch\wt.dll :: BHO 등록 파일
C:\Program Files\search_ch
C:\Program Files\search_ch\AppPopAd.BAT
C:\Program Files\search_ch\AppPopAd.exe
C:\Program Files\search_ch\asycfilt.dll
C:\Program Files\search_ch\COMCAT.DLL
C:\Program Files\search_ch\easysearch.BAT
C:\Program Files\search_ch\INETKO.DLL
C:\Program Files\search_ch\iphlpapi_32.dll
C:\Program Files\search_ch\iphlpapi_64.dll
C:\Program Files\search_ch\mshtml.tlb
C:\Program Files\search_ch\MSINET.OCX
C:\Program Files\search_ch\msvbvm60.dll
C:\Program Files\search_ch\oleaut32.dll
C:\Program Files\search_ch\olepro32.dll
C:\Program Files\search_ch\PrjChoiceLink.DDF
C:\Program Files\search_ch\Project1.DDF
C:\Program Files\search_ch\search_ch.exe
C:\Program Files\search_ch\stdole2.tlb
C:\Program Files\search_ch\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\search_ch\VB6KO.DLL
C:\Program Files\search_ch\VB6STKIT.DLL
C:\Program Files\search_ch\wt.dll :: BHO 등록 파일
[생성 파일 진단 정보]
C:\Program Files\search_ch\AppPopAd.exe
- MD5 : 07590f0d5e58ac5fd88091fd87d4be12
- AhnLab V3 : Malware/Win32.Generic (VirusTotal : 18/43)
C:\Program Files\search_ch\search_ch.exe
- MD5 : cfb2ce90aff05d6b82e79b8f74b1c05b
- AhnLab V3 : PUP/Win32.Extra (VirusTotal : 3/43)
※ PUP/Win32 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.
C:\Program Files\search_ch\AppPopAd.exe
- MD5 : 07590f0d5e58ac5fd88091fd87d4be12
- AhnLab V3 : Malware/Win32.Generic (VirusTotal : 18/43)
C:\Program Files\search_ch\search_ch.exe
- MD5 : cfb2ce90aff05d6b82e79b8f74b1c05b
- AhnLab V3 : PUP/Win32.Extra (VirusTotal : 3/43)
※ PUP/Win32 진단명은 유해 가능 프로그램에 대한 진단으로 악의적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일(프로그램)을 의미합니다.
해당 프로그램은 [C:\Program Files\search_ch] 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 동작시 연동되어 실행되도록 구성되어 있습니다.
해당 프로그램이 설치된 환경에서 사용자가 ① 웹 브라우저를 실행하여 특정 검색어로 인터넷 검색을 시도할 경우 ② 백그라운드 방식으로 추가적인 광고를 불러오는 동작이 있지만, 사용자 눈에는 노출되지 않습니다.
하지만 백그라운드 방식으로 생성된 ②번 광고는 웹 브라우저를 종료하는 시점에서 생성되어 광고창을 노출하도록 구성되어 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : ExplorerManager Class
유형 : 브라우저 도우미 개체
CLSID : {AA4E73CB-0853-41F1-98FF-8425F1FAF463}
파일 : C:\Program Files\search_ch\wt.dll
이름 : ExplorerManager Class
유형 : 브라우저 도우미 개체
CLSID : {AA4E73CB-0853-41F1-98FF-8425F1FAF463}
파일 : C:\Program Files\search_ch\wt.dll
해당 프로그램은 Internet Explorer 웹 브라우저가 실행될 경우 wt.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고 생성 동작을 하도록 구성되어 있으므로, 광고 중지를 위해서는 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 ExplorerManager Class 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [search_ch] 삭제 항목을 이용하여 삭제하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
- ad.werping.com
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA4E73CB-0853-41F1-98FF-8425F1FAF463}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BA757198-9CBC-49E1-A504-EBBD2BA03978}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F9EC55CA-A59A-4707-9549-D7888F33EFD2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebManager.ExplorerManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebManager.ExplorerManager.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\search_ch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AA4E73CB-0853-41F1-98FF-8425F1FAF463}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
search_ch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
- ad.werping.com
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA4E73CB-0853-41F1-98FF-8425F1FAF463}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BA757198-9CBC-49E1-A504-EBBD2BA03978}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F9EC55CA-A59A-4707-9549-D7888F33EFD2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebManager.ExplorerManager
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebManager.ExplorerManager.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\search_ch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{AA4E73CB-0853-41F1-98FF-8425F1FAF463}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
search_ch
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 백그라운드 방식의 광고로 인하여 웹 브라우저 및 인터넷 속도 저하가 예상되므로 주의하시기 바랍니다.
728x90
반응형