본문 바로가기

벌새::Analysis

검색 도우미 : wlndow update1

마이크로소프트(Microsoft) 업체의 윈도우 업데이트(Windows Update) 관련 프로그램으로 위장하여 국내 특정 검색 서비스 바로가기 기능을 제공하는 검색 도우미 "wlndow update1" 프로그램에 대해 살펴보도록 하겠습니다.(※ 프로그램의 이름은 배포 파일에 따라 "wlndow update(숫자)" 형태로 등록될 수 있습니다.)

  검색 도우미 : Windows hitlink ad-System [hitlink] (2012.10.17)

 

  검색 도우미 : Windows topsearch ad-System [topsearch] (2012.10.31)

 

해당 프로그램의 설치 파일(MD5 : 05460abbb6d8f57b94ea384af5896219)에서 사용되는 "ArthanSoft" 디지털 서명은 기존의 검색 도우미 프로그램에서도 확인되고 있으며, 인증서의 발급자를 찾을 수 없는 비정상적인 것으로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\wlndow update1 Setup Log.txt
C:\Documents and Settings\(사용자 계정)\바탕 화면\올린.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\wlndow update1.lnk
C:\Program Files\wlndow update1
C:\Program Files\wlndow update1\AdverID.inf
C:\Program Files\wlndow update1\AtoSystem05.Data.dll
C:\Program Files\wlndow update1\bollin1wlndowupdate.ico
C:\Program Files\wlndow update1\GFTP.dll
C:\Program Files\wlndow update1\lua5.1.dll
C:\Program Files\wlndow update1\MySql.Data.dll
C:\Program Files\wlndow update1\Uninstall
C:\Program Files\wlndow update1\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\wlndow update1\Uninstall\IRIMG1.JPG
C:\Program Files\wlndow update1\Uninstall\IRIMG2.JPG
C:\Program Files\wlndow update1\Uninstall\uninstall.dat
C:\Program Files\wlndow update1\Uninstall\uninstall.xml
C:\Program Files\wlndow update1\WDGE.exe
C:\Program Files\wlndow update1\WDGP_Start.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\wlndow update1\WDGP.exe
C:\Program Files\wlndow update1\WDGS.exe
C:\Program Files\wlndow update1\WDGUpdate.exe
C:\Program Files\wlndow update1\wollin160x60.jpg

 

※ 프로그램 생성 폴더명은 "C:\Program Files\wlndow update(숫자)" 형태로 등록될 수 있습니다.

해당 프로그램은 "C:\Program Files\wlndow update1" 폴더에 파일을 생성하며, "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\wlndow update1.lnk" 시작 프로그램 영역에 "wlndow update1" 값을 등록하여 시스템 시작시 "C:\Program Files\wlndow update1\WDGP_Start.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 시작 프로그램 영역에 등록된 값은 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\WDGP.lnk" 형태로 등록될 수 있습니다.)

이 과정에서 특정 FTP 서버에 접속하여 광고 관련 정보를 체크하는 것으로 보이며, 현재 확인되는 동작은 바탕 화면에 그림과 같은 모양의 광고창을 생성하여 해당 영역을 클릭할 경우 특정 검색 사이트로 연결을 시도하고 있습니다.

참고로 만약 바탕 화면에 해당 광고창이 생성될 경우에는 Windows 작업 관리자를 실행하여 WDGP_Start.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

또한 연결되는 검색 사이트는 "wlndow update1" 프로그램 설치로 인해 생성된 "올린" 바탕 화면 바로가기 아이콘을 통해 접속되는 검색 사이트와 동일합니다.

"C:\Program Files\wlndow update1" 폴더 내에 생성된 파일을 살펴보면 중요 실행 파일의 속성값에 마이크로소프트(Microsoft) 파일로 등록되어 있는 것이 특징이며, 이는 사용자가 해당 폴더 및 파일을 마이크로소프트(Microsoft) 윈도우 업데이트(Windows Update) 관련 파일로 착각하도록 할 목적으로 보입니다.

프로그램 삭제는 제어판의 "wlndow update1" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.(※ 삭제 항목은 "wlndow update(숫자)" 형태로 등록될 수 있습니다.)

  • C:\Documents and Settings\(사용자 계정)\바탕 화면\올린.url
  • C:\Program Files\wlndow update1
  • C:\Program Files\wlndow update1\bollin1wlndowupdate.ico
  • C:\Program Files\wlndow update1\WDGE.exe
  • C:\Program Files\wlndow update1\wollin160x60.jpg
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wlndow update11.0

 

※ 해당 레지스트리 값은 "wlndow update(숫자).0" 형태로 등록될 수 있습니다.

해당 프로그램이 시스템 시작시마다 접속하는 FTP 서버의 경우에도 기존에 등록된 PE 파일이 존재하는 것으로 보아, 사용자 입장에서 출처를 알 수 없는 프로그램으로 인해 추가적인 다운로드가 이루어질 수 있으므로 주의하시기 바랍니다.