본문 바로가기

벌새::Analysis

검색 도우미 : 웹컴파스(WebCompass) 1.0.2.9

반응형
인터넷 검색시 웹 브라우저 상단에 광고바 생성 및 Internet Explorer 웹 브라우저 명령 모음에 11번가, 옥션, G마켓 인터넷 쇼핑몰 바로가기 아이콘을 등록하는 검색 도우미 웹컴파스(WebCompass) 1.0.2.9 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : abdeda42965041978a112cef01dacb47)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 PUP/Win32.WebCompass (VirusTotal : 5/43) 진단명으로 진단되는 유해 가능 프로그램이므로 참고하시기 바랍니다.
 

또한 해당 프로그램은 기존의 웹컴파스(WebCompass) 프로그램의 변형된 버전으로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\free.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\Log.txt
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\update.dat

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\update.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\wcmgr.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\webcompass.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\ISopencapture3.exe
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\free.exe
 - MD5 : e26b0c197e2c7683acd0bca434e8e9d9
 - AhnLab V3 : Win-PUP/Reward.WebCompass.47288 (VirusTotal : 1/43)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\update.exe
 - MD5 : 18fbec60f06639e9a8b985bd02f3f70d
 - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 1/42)

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\wcmgr.exe
 - MD5 : c5bb6736e542e7cb0a3da9602d7274dc
 - AhnLab V3 : PUP/Win32.WebCompass (VirusTotal : 4/43)

 

해당 프로그램은 사용자가 쉽게 확인하기 어려운 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass] 폴더에 파일을 생성하며, Windows 시작시 wcmgr.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 명령 모음에 11번가, 옥션, G마켓 인터넷 쇼핑몰 바로가기 아이콘이 등록되는 것을 확인할 수 있습니다.

참고로 해당 바로가기 아이콘을 클릭하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익이 발생할 것으로 추정됩니다.

 

또한 해당 프로그램은 인터넷 검색시 웹 브라우저 상단에 광고바가 생성되며, 검색 결과를 클릭하여 접속되는 웹 페이지 상단에 또 다른 형태의 광고바가 노출되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : WebCompass Search Class
게시자 : Datawave System Inc.
유형 : 브라우저 도우미 개체
CLSID : {2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\webcompass.dll

이름 : 웹컴파스 11번가 바로가기
유형 : 브라우저 확장
CLSID : {68C04328-167E-446A-AC57-4A04DAD74BDC}

이름 : 웹컴파스 옥션 바로가기
유형 : 브라우저 확장
CLSID : {A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}

이름 : 웹컴파스 G마켓 바로가기
유형 : 브라우저 확장
CLSID : {E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 webcompass.dll 파일을 브라우저 도우미 개체(BHO) 방식으로 추가하여 키워드 감시를 통한 광고바 생성을 하는 동작을 합니다.

또한 브라우저 확장 방식으로 11번가, 옥션, G마켓 바로가기 아이콘을 생성하여 명령 모음에 등록하고 있습니다.

이들 광고 동작의 중지를 위해서는 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 WebCompass Search Class, 웹컴파스 11번가 바로가기, 웹컴파스 옥션 바로가기, 웹컴파스 G마켓 바로가기 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

추가적으로 프로그램 삭제시에는 Windows 작업 관리자에서 wcmgr.exe 프로세스를 수동으로 종료하시기 바랍니다.

 

프로그램 삭제는 Internet Explorer 웹 브라우저 및 wcmgr.exe 프로세스 종료 후, 제어판의 [WebCompass(웹컴파스)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

 

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - *.webcompass.co.kr
HKEY_CURRENT_USER\Software\WebCompassV2
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A264B391-335A-457F-9655-19F351A937F4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchBHO.Bar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{4011C355-ED27-49DC-9E66-89913C211988}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{68C04328-167E-446A-AC57-4A04DAD74BDC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{A005B05D-B3BD-49DB-B0A8-1D4F0CF53CFB}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{E5990159-7CB9-4E2C-A27E-4C23E2FA70E6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{39932A4E-63C1-400a-9F3D-3C1655DC5E00}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2D3BA117-A67B-4BE3-B692-A0F399E7EBC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wcmgr.exe = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WebCompass\wcmgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebCompass(웹컴파스)_is1

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 광고 프로그램 설치로 인하여 인터넷 이용시 오류창 생성 등의 문제가 발생하는 것으로 보이므로 주의하시기 바랍니다.

728x90
반응형