본문 바로가기

벌새::Analysis

[삭제] WinbioTools

반응형

사용자가 특정 인터넷 쇼핑몰에 접속할 경우 사용자 몰래 광고 코드를 추가하며 삭제를 방해하는 WinbioTools 프로그램(MD5 : 8a6175c512fa5f885d25427d9e3611d2)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Windows nuriweb (2011.12.17)

 

  검색 도우미 : Windows infoaux (2012.3.10)

 

  검색 도우미 : Windows Sidematch System (2012.3.13)

 

  국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)

 

  검색 도우미 : Windows best5info (2012.4.12)

 

  검색 도우미 : Window naverdown (2012.5.12)

 

  [삭제] MicrosoftToppoint (2012.5.22)

 

  자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)

 

  [삭제] WindowEngine (2012.7.17)

 

해당 프로그램은 keimc 디지털 서명을 포함한 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\WinbioTools :: 숨김(H) 속성 폴더
C:\Documents and Settings\All Users\Application Data\WinbioTools\data.db
C:\Documents and Settings\All Users\Application Data\WinbioTools\sqlite3.dll
C:\Documents and Settings\All Users\Application Data\WinbioTools\unins000.dat
C:\Documents and Settings\All Users\Application Data\WinbioTools\unins000.exe :: 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio_v3.dll :: BHO 등록 파일
C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio.dat
C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio.exe
C:\Documents and Settings\All Users\Application Data\WinbioTools\WinFree.exe
C:\WINDOWS\system32\WinbioTools.exe :: Windows BioTools 서비스 등록 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio_v3.dll
 - MD5 : f95b9033ef10943665ce931910c87004
 - AhnLab V3 : PUP/Win32.WinBioTools (VirusTotal : 4/38)

 

C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio.exe
 - MD5 : a1244d785f0c959e4eb32d8d4664694d
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 6/42)

 

C:\WINDOWS\system32\WinbioTools.exe
 - MD5 : 0641412cd721a1bebf566f5a6237067b
 - AhnLab V3 : PUP/Win32.WinBioTools (VirusTotal : 7/42)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\All Users\Application Data\WinbioTools" 폴더에 파일을 생성합니다. 

이를 통해 "Bio Tools(Windows BioTools)" 서비스 항목을 등록하여 시스템 시작시 "C:\WINDOWS\system32\WinbioTools.exe" 파일을 자동으로 실행하여 업데이트 체크를 하도록 제작되어 있습니다. 

프로그램이 설치된 환경에서 사용자가 특정 인터넷 쇼핑몰에 접속하는 과정에서 사용자 몰래 특정 광고 코드(cl.ilikeclick.com)를 추가하는 방식으로 수익을 창출하고 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : WinbioTools Class

게시자 : I-tree

유형 : 브라우저 도우미 개체

CLSID : {86727A1A-8140-4CFA-ABFA-1620398FCEC5}

파일 : C:\Documents and Settings\All Users\Application Data\WinbioTools\Winbio_v3.dll

 

해당 프로그램은 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 Winbio_v3.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 등록된 인터넷 쇼핑몰 사이트에 접속시 광고 코드를 추가하도록 제작되어 있습니다. 

현재 테스트 시점에서 동작하는 Winbio_v3.dll 파일은 차후 업데이트를 통해 Winbio_v(숫자).dll 형태로 변경이 가능하며, 이전 유사 프로그램과는 다르게 "I-tree" 디지털 서명을 추가한 것이 특징입니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "WinbioTools Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

WinbioTools 프로그램은 제어판을 통한 삭제를 제공하지 않지만 삭제 파일(unins000.exe)을 통해 삭제가 가능하므로, 폴더 옵션에서 "숨김 파일 및 폴더 표시" 항목에 체크를 하시고 다음의 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(1) 윈도우 탐색기를 실행하여 "C:\Documents and Settings\All Users\Application Data\WinbioTools\unins000.exe" 파일을 찾아 실행하시기 바랍니다. 

참고로 파일을 실행하기 전에 반드시 Internet Explorer 웹 브라우저를 종료한 상태에서 진행하시기 바라며, 프로그램이 삭제된 후에는 추가적으로 "C:\WINDOWS\system32\WinbioTools.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

(2) 레지스트리 편집기(regedit)를 실행하여 아래에 제시하는 레지스트리 등록값 중 삭제되지 않은 값이 존재할 경우 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\AppDataLow\WinbioTools
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86727A1A-8140-4CFA-ABFA-1620398FCEC5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{86727A1A-ABB2-442F-BAEE-F6D1B7BE64AB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{130E4DCE-FFAC-15E3-5893-74950AFEEA4C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Winbio.WinbioTools
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{86727A1A-8140-4CFA-ABFA-1620398FCEC5}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BIOTOOLS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BioTools

 

해당 프로그램은 프로그램 목록 및 제어판의 삭제 항목에 등록하지 않는 문제로 사용자가 설치 여부를 확인하기 어려워 프로그램 제작자(배포자)는 지속적인 수익을 창출할 수 있는 프로그램이므로 주의하시기 바랍니다.

728x90
반응형