본문 바로가기

벌새::Analysis

검색 도우미 : WingSearch

728x90
반응형

바탕 화면과 즐겨찾기에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 인터넷 검색시 새 탭 방식으로 광고를 노출하는 검색 도우미 WingSearch 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 7db1e5909d625804c1dd645d6bc809cb)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.WingSearch.1786608 (VirusTotal : 4/40) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : IFavorPop + vvxtklvbudjkkld.dll (2012.7.2)

 

또한 IFavoPop 검색 도우미 프로그램과 파일 구성 및 광고 동작에서 유사성이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\11.ico
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\auction.ico
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\dnshop.ico
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\gmarket.ico
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\msvcp100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\msvcr100.dll
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearch.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearcher.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓 - 새로운 세상을 여는 문, G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\당신이 찾는 모든 스타일, 옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵, 시즌 2.url
C:\Documents and Settings\(사용자 계정)\Favorites\쇼핑 스트리트, 11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.URL

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearcher.exe
 - MD5 : a26dad7882b5281d70233d940c88c120
 - AhnLab V3 : Win-Adware/WingSearch.1769344 (VirusTotal : 2/42)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch" 폴더에 파일을 생성하며, Windows 시작시 WingSearcher.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다. 

이를 통해 프로그램이 설치된 환경에서 시스템 재부팅 과정에서 특정 광고 서버에서 업데이트 체크를 통해 WingSearch 설치 파일을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch_digsh_u.exe" 형태로 생성합니다.

  • h**p://****.****search.co.kr/WingSearch_digsh_u.exe (MD5 : e266ac9cfe8765a84677547f72e990ab) - AhnLab V3 : PUP/Win32.WingSearch (VirusTotal : 2/42)

해당 설치 파일은 uninstall.exe, WingSearch.dll 2개의 파일을 수정한 후 자가 삭제 처리되도록 구성되어 있습니다. 

WingSearch 프로그램 설치로 인한 광고 기능을 살펴보면 바탕 화면에는 G마켓 바로가기 아이콘 생성 및 Internet Explorer 웹 브라우저의 즐겨찾기에 다수의 인터넷 쇼핑몰 바로가기가 등록된 것을 확인할 수 있습니다. 

해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속하는 과정에서 특정 광고 코드(click.interich.com)가 추가되는 동작을 확인할 수 있습니다. 

또한 WingSearch 프로그램이 설치된 후 사용자가 Internet Explorer 웹 브라우저를 최초 실행할 경우 특정 서버로부터 광고 구성값을 받아오는 동작을 확인할 수 있습니다. 

이를 통해 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 광고 서버에서 참조하여 새 탭(New Tab) 방식으로 광고창을 생성하는 동작을 확인할 수 있습니다. 

또한 특정 검색 키워드에 따라서는 새 탭 광고 이외에 웹 브라우저 상단에 광고바를 생성하는 동작도 확인할 수 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : WingSearchObj Class

게시자 : nia

유형 : 브라우저 도우미 개체

CLSID : {C4A8DD91-6B48-43C2-81D6-028885F362E8}

파일 : C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearch.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 WingSearch.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고를 생성하는 동작을 합니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "WingSearchObj Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

  검색 도우미 : Quick Info Band (2010.7.23)

 

참고로 해당 프로그램에서 사용된 디지털 서명 "NIA"는 과거 웹 브라우저 하단에 광고바를 생성하던 "Quick Info Band" 검색 도우미와 연관성이 있는 것으로 확인되고 있으므로 참고하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "WingSearch" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch
  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi
  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\11.ico
  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\auction.ico
  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\dnshop.ico
  • C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\favi\gmarket.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\SoftWare\WingSearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow
 - *.wingsearch.co.kr
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WingSearch = C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearcher.exe
HKEY_CURRENT_USER\Software\WingSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{97C05596-F548-49C8-A963-15860ACC94AF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WingSearch.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C4A8DD91-6B48-43C2-81D6-028885F362E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DA7D0660-6357-4244-AE25-9FDD15924CD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{34AEA0D5-B816-4C7F-AFF7-ADBB067E492C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WingSearch.WingSearchObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WingSearch.WingSearchObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{75AE2338-E06B-4955-8C3F-BQ0D5636DC50}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{C4A8DD91-6B48-43C2-81D6-028885F362E8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WingSearch = C:\Documents and Settings\(사용자 계정)\Application Data\WingSearch\WingSearcher.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WingSearch

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 탭(Tab) 생성을 통한 광고가 노출될 수 있으므로 주의하시기 바랍니다.

728x90
반응형