Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 광고가 생성되거나 인터넷 검색 중 광고창이 생성될 것으로 추정되는 검색 도우미 "Windows Assist Service" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 5162adf9e2132729d6f2f094d7ab5c48)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.WAS (VirusTotal : 5/42) 진단명으로 진단되고 있습니다.
프로그램 설치 과정에서 특정 서버로 사용자 Mac Address 값과 OS 정보를 체크하는 동작을 확인할 수 있습니다.
기존의 다양한 검색 도우미 프로그램에서 OS 값을 체크하는 경우가 드물었기에 Windows XP 이외에 Windows 7 운영 체제에서 Windows Assist Service 프로그램이 어떤 차이를 보이는지 확인하도록 하겠습니다.
C:\Program Files\Windows Assist Service
C:\Program Files\Windows Assist Service\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Assist Service\winasc.dll :: BHO 등록 파일
C:\Program Files\Windows Assist Service\winasu.exe
C:\Program Files\Windows Assist Service\winasv.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
※ winasv.exe 파일은 Windows 7 운영 체제에서는 "Windows Assist Service" 서비스 항목으로 등록됩니다.
C:\Program Files\Windows Assist Service\Uninstall.exe
- MD5 : 0f4c2151bdfa0931cdccf9c97f451f8a
- AhnLab V3 : PUP/Win32.WAS (VirusTotal : 2/42)
해당 프로그램은 최초 설치시 Windows 시작시 winasv.exe 파일을 시작 프로그램으로 등록(※ Windows XP, Windows 7 공통)하여 자동 실행되도록 구성되어 있으며, 설치 완료된 PC가 시스템 재부팅 이후 3분이 경과하는 시점에서 다음과 같은 프로그램 업데이트를 체크하는 동작을 확인할 수 있습니다.
또한 Windows 7 운영 체제에서는 서비스에 "winassvc(Windows Assist Service)" 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Assist Service\winasv.exe" 파일이 자동 실행되도록 구성되어 있습니다.
C:\Program Files\Windows Assist Service\update
C:\Program Files\Windows Assist Service\update\winasu.exe
C:\Program Files\Windows Assist Service\update\winasv.exe
업데이트를 통해 winasv.exe, winasc.dll, winasu.exe 3개의 파일 버전을 체크하며, 설치된 파일 중 업데이트할 파일이 존재할 경우 "C:\Program Files\Windows Assist Service\update" 폴더에 다운로드 후 시스템 재부팅 과정에서 "C:\Program Files\Windows Assist Service" 폴더에 존재하는 파일을 교체합니다.
이 과정에서 Windows 7 운영 체제의 경우 최초 프로그램 설치시에는 winasv.exe 파일을 시작 프로그램(Run)에 등록하였던 값을 삭제 처리하는 동작을 확인할 수 있습니다.
이렇게 최종적으로 설치된 프로그램은 브라우저 도우미 개체(BHO) 등록과 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks" 레지스트리 등록을 통해 인터넷을 이용하는 과정에서 사용자의 검색 키워드에 따라 광고가 노출될 것으로 추정됩니다.
이름 : Windows Assist Service
게시자 : Now Media Corp.
유형 : 브라우저 도우미 개체
CLSID : {5558865D-C81D-4B15-B4DA-FA89B29DB61F}
파일 : C:\Program Files\Windows Assist Service\winasc.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winasc.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 사용자 키워드 감시를 통한 광고창 생성 등의 동작을 할 것으로 추정됩니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Assist Service" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 해당 프로그램은 winasv.exe 프로세스가 메모리에 상주하므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows Assist Service" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
- {3FF7D676-A695-4F53-8C95-17F525512ECB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{871BC1A6-FDCA-4121-9888-5D6D9DED4360}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\winasc.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3FF7D676-A695-4F53-8C95-17F525512ECB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5558865D-C81D-4B15-B4DA-FA89B29DB61F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{11665988-C100-477C-B89B-3B43331D9AE5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1DD2E9F4-5956-4F0F-A89C-3E037A3DB279}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C12E92CD-BF8D-4110-8A06-666F68B30F27}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winasc.WasGulf
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winasc.WasGulf.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winasc.WasUrlSrchHK
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winasc.WasUrlSrchHK.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- wasv = inst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5558865D-C81D-4B15-B4DA-FA89B29DB61F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- winasv = C:\Program Files\Windows Assist Service\winasv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Assist Service
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Assist Service
※ Windows 7 운영 체제에서는 다음의 추가적인 레지스트리 값이 생성됩니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {5558865D-C81D-4B15-B4DA-FA89B29DB61F}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winassvc
해당 프로그램은 시스템 시작시마다 프로그램 업데이트를 통해 새로운 버전의 파일로 변경될 수 있으며, 테스트 환경에서는 실제적인 광고 기능은 확인되지 않았지만 인터넷 이용시 원치 않는 광고 노출로 불편을 유발할 수 있으므로 주의하시기 바랍니다.