사용자가 특정 웹하드 서비스에 가입하는 과정에서 사용자 몰래 파트너 아이디(ID)를 추가하는 기능을 가진 WindowEngine 프로그램에 대해 살펴보도록 하겠습니다.
특히 해당 프로그램(MD5 : cc733c7bf2878849c97b1c96122aebf5)은 사용자에 의한 삭제를 방해할 목적으로 삭제 파일은 제공하면서 제어판에는 등록하지 않는 방식으로 배포가 이루어지고 있습니다.
▷ 검색 도우미 : Windows nuriweb (2011.12.17)
▷ 검색 도우미 : Windows infoaux (2012.3.10)
▷ 검색 도우미 : Windows Sidematch System (2012.3.13)
▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)
▷ 검색 도우미 : Windows best5info (2012.4.12)
▷ 검색 도우미 : Window naverdown (2012.5.12)
▷ [삭제] MicrosoftToppoint (2012.5.22)
▷ 자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)
해당 프로그램에서 사용하는 디지털 서명(keimc)을 이용한 다양한 검색 도우미 프로그램이 존재하였으므로 참고하시기 바랍니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\Clear.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\unins000.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\WindowEngine_v12.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\windowengine.dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\windowengine.exe :: 시작 프로그램 등록 파일
[생성 파일 진단 정보]
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\windowengine.exe
- MD5 : acc86e9ae66cd591e0f119ff212f2c0a
- AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 6/42)
해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine" 폴더에 파일을 생성하며, Windows 시작시 windowengine.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.
생성된 WindowEngine_v12.dll 파일의 속성값을 확인해보면 "keimc" 디지털 서명이 포함되어 있으며, 파일 이름으로 추정해보면 지속적인 버전 업데이트를 통해 WindowEngine_v (숫자).dll 패턴으로 구성되어 있을 것으로 보입니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
이름 : WindowEngine_ Class
게시자 : keimc
유형 : 브라우저 도우미 개체
CLSID : {33A57F5F-9A93-4B8D-94EE-A57D0FD98E65}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\WindowEngine_v12.dll해당 프로그램은 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 WindowEngine_v12.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 다음과 같은 광고 동작을 진행합니다.
즉, 프로그램에서 지정한 특정 웹하드 서비스에 회원 가입을 하는 과정에서 사용자 몰래 파트너 아이디(ID)를 추가하여 수익을 창출하는 것으로 보입니다.
그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "WindowEngine_ Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
WindowEngine 프로그램은 제어판을 통한 삭제 기능을 제공하지 않고 있으므로, 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 다음의 절차에 따라 프로그램을 삭제하시기 바랍니다.
(1) 윈도우 탐색기를 실행하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\unins000.exe" 파일을 찾아 실행하시기 바랍니다.
WindowEngine 프로그램은 제어판을 통한 삭제는 제공하지 않는 반면 보안 제품의 진단을 회피할 목적으로 프로그램 삭제 파일(unins000.exe)은 정상적으로 제공하고 있습니다.
그러므로 Internet Explorer 웹 브라우저를 종료한 상태에서 해당 파일을 실행하여 프로그램을 삭제할 수 있습니다.
(2) 프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 값이 존재할 경우 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\AppDataLow\WindowEngine
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WindowEngine = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\WindowEngine\windowengine.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33A57F5F-9A93-4B8D-94EE-A57D0FD98E65}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BBEDCF0F-AAB2-41BF-BAFE-C6D1B7BE6421}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BB0E4D5E-AA2E-45E8-8893-749E0AFEEA4F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windowengine.windowengine
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{33A57F5F-9A93-4B8D-94EE-A57D0FD98E65}
해당 프로그램은 프로그램 목록 및 제어판 삭제 항목에 등록하지 않는 문제로 사용자가 설치 여부를 확인하기 매우 어려우며, 프로그램 삭제도 방해할 목적으로 제작되어 있으므로 주의하시기 바랍니다.