본문 바로가기

벌새::Analysis

검색 도우미 : 윈익스팬드(WinExpand)

반응형

인터넷 검색시 웹 브라우저 상단에 Sponsor Link 광고바를 생성하는 검색 도우미 윈익스팬드(WinExpand) 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 6cfaf8f064c5b1a87f4a9fbb4586aa4c)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.Winexpand (VirusTotal : 3/43) 진단명으로 진단되고 있습니다.

 

  <Right Security Blog> 제휴(스폰서) 프로그램 : 아이플러스(IPlus) (2010.6.1)

 

해당 프로그램은 기존의 아이플러스(IPlus) 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\Expand.Dat
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\WinExpandMidiaTempSetup.ini
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\WinExpandSelectTemp.Dat
C:\Program Files\WinExpand_uk25
C:\Program Files\WinExpand_uk25\WEUninstall_uk25.EXE :: 프로그램 삭제 파일
C:\Program Files\WinExpand_uk25\WinExpand_uk25.dll :: BHO 등록 파일
C:\Program Files\WinExpand_uk25\WinxpendUP_uk25.exe :: 시작 프로그램 등록 파일

 

해당 프로그램은 "C:\Program Files\WinExpand_uk25" 폴더에 파일을 생성하며, Windows 시작시 WinxpendUP_uk25.exe 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 구성되어 있습니다.

 

참고로 생성 폴더(파일) 이름 중 "_uk25" 값은 배포자 정보이므로, 다른 설치 파일(경로)을 통해 설치된 경우 다른 값을 가질 것으로 추정됩니다.

 

예를 들어 "_(특정 값)같은 패턴으로 등록될 것으로 보이며, 특정 값으로는 wxp, f5, mon, nzym, nmog, ou10, seds, boa, flh4, im0s, jaq, nlbox, cyame, nows, ngmel, jema, nomon, nmae, nqil, nshe, tdawa, uttp, scq, test3, satil, lkre, utila, nemax, njbng, nor2, noame, lvu5, smve5, itrs5, ies5, itdw5, uk25, uz25, mrp5, mcv5, sftea, EndExpend 등입니다. 

프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우, 검색 키워드 값을 참조하여 웹 브라우저 상단에 Sponsor Link 광고바를 생성하는 동작을 확인할 수 있습니다.

 

생성된 광고를 클릭할 경우 광고 서버를 경유하여 오버추어(Overture) 광고 코드가 추가된 형태로 상업적 사이트로 연결됩니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : WinExpandB Class

게시자 : CJ Mooter Inc.

유형 : 브라우저 도우미 개체

CLSID : {000000A3-C8CE-4AE1-B902-BFA335A2E66A}

파일 : C:\Program Files\WinExpand_uk25\WinExpand_uk25.dll

 

프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 WinExpand_uk25.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바를 생성하도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "WinExpandB Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "WinExpand" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 4자리 문자를 입력하여 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\WinExpand_uk25
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{000000A3-C8CE-4AE1-B902-BFA335A2E66A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IPlus.IPlusB
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IPlus.IPlusB.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A2BF4ADA-728F-49AC-9023-D16046CFA6F5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E1A54617-959B-435C-98A4-259DFD936BCB}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B97C32B8-4826-4BE5-8B61-8F9CDAB13DBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000A3-C8CE-4AE1-B902-BFA335A2E66A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WinxpendUP_uk25 = C:\Program Files\WinExpand_uk25\WinxpendUP_uk25.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WinExpand_uk25

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색 과정에서 웹 브라우저 속도를 저하시킬 수 있으므로 주의하시기 바랍니다.

728x90
반응형