본문 바로가기

벌새::Analysis

검색 도우미 : 웹코어스(WebCores) - media help webcores

인터넷 검색시 광고창 생성 및 추천 링크 광고가 노출되는 검색 도우미 "웹코어스(WebCores) - media help webcores" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3b8db02ee5d1a6df091047c9f516c6de)에 대하여 nProtect 보안 제품에서는 Adware/W32.KrAdword.470016 (VirusTotal : 26/44) 진단명으로 진단되고 있습니다.

 

  국내 악성코드 : Windows Onestep System (2011.11.12)

 

  검색 도우미 : Windows Onestep System - onestep (2011.11.22)

 

  국내 악성코드 : Addendum Sidebar(gamjoa) (2012.1.15)

 

  국내 악성코드 : Windows smartlink System (2012.2.14)

 

  검색 도우미 : Internet SubJet Client (2012.2.18)

 

  검색 도우미 : SideMatch2.0 (2012.4.1)

 

  국내 악성코드 : Windows findcheck System (2012.4.9)

 

  검색 도우미 : Internet linelink Client (2012.4.23)

 

  검색 도우미 : Windows wordfind System (2012.5.19)

 

  검색 도우미 : Internet gold-bar Client (2012.6.17)

 

  국내 악성코드 : Internet svbar Client (2012.7.4)

 

또한 기존의 다수의 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\webcores
C:\Program Files\webcores\a.lod
C:\Program Files\webcores\b.lod
C:\Program Files\webcores\category.dt
C:\Program Files\webcores\ies.tml
C:\Program Files\webcores\joy.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\webcores\ls.plc
C:\Program Files\webcores\nhopen.dll
C:\Program Files\webcores\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\webcores\webcoresb.dll :: BHO 등록 파일
C:\Program Files\webcores\webcorese.exe :: 시작 프로그램 등록 파일
C:\Program Files\webcores\ws.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\webcores\joy.exe
 - MD5 : 66785b1a3353f54765a1d89072662e4f
 - AhnLab V3 : PUP/Win32.URLHelper (VirusTotal : 20/44)

 

C:\Program Files\webcores\webcoresb.dll
 - MD5 : fbcae4ec96f4d7df0b7ec1961a94ba46
 - nProtect : Adware/W32.KrAdword.892928 (VirusTotal : 23/44)

 

C:\Program Files\webcores\ws.exe
 - MD5 : 3276ac550f0b405460eda0c331c180c9
 - AhnLab V3 : Win-PUP/Helper.WebCores.785920 (VirusTotal : 17/44)

 

해당 프로그램은 "C:\Program Files\webcores" 폴더에 파일을 생성하며, Windows 시작시 joy.exe, webcorese.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

참고로 자동 실행된 webcorese.exe 파일은 프로그램 업데이트를 체크한 후 자동 종료되며, joy.exe 파일은 메모리에 상주합니다.

웹코어스(WebCores) 프로그램의 생성된 파일을 살펴보면 기존에 소개한 OpenPot 계열의 광고 프로그램(joy.exe, nhopen.dll)이 함께 포함된 것을 확인할 수 있으며, 이는 광고 패턴이 최소 2가지 이상임을 유추할 수 있습니다.

 

  국내 악성코드 : OpenPot - Sysmax.exe (2012.1.29)

 

  <Right Security Blog> 무료 시스템 최적화 프로그램 MyPC 에 숨어 있는 OpenPot 광고 파일 (2012.3.28)

 

  [삭제] bounce.exe (2012.6.16)

 

  검색 도우미 : Internet gold-bar Client (2012.6.17)

 

  <Right Security Blog> 무료 개인정보 유출 진단 인포스캔(InfoScan)에 포함된 OpenPot 광고 파일 (2012.6.21)

 

  프리리슨(FreeListen)에 포함된 FreeListenManager.exe 광고 파일 (2012.6.26)

 

참고로 OpenPot 광고 프로그램이 추가된 다양한 사례를 기존에 소개한 적이 있으므로 확인하시기 바랍니다.

 

1. 웹코어스(WebCores) 프로그램 기능

웹코어스(WebCores) 프로그램의 기능을 살펴보면 사용자가 인터넷 검색을 시도할 경우 iexplore.exe 프로세스에 하위에 "C:\Program Files\webcores\ws.exe" 프로세스를 임시로 생성하여 검색 키워드 값을 참조한 광고창을 생성하는 동작이 이루어집니다.

연결되는 정보를 확인해보면 특정 광고 코드(adnclick.com / click.clickstory.co.kr)가 추가되는 것을 확인할 수 있습니다.

또한 인터넷 검색을 통해 접속한 정상적인 웹 사이트 화면에 "추천 링크" 광고를 노출하는 동작을 하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : webcores

유형 : 브라우저 도우미 개체

CLSID : {BA783CB3-27C7-4A7A-8DBA-B89CCC4A2014}

파일 : C:\Program Files\webcores\webcoresb.dll

 

이들 광고 동작은 webcoresb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고 생성이 이루어지므로, 웹 브라우저의 추가 기능 관리에 등록된 "webcores" 항목을 선택하여 "사용 안 함"으로 변경하여 광고 동작을 중지할 수 있습니다.

 

2. joy.exe 파일 기능

웹코어스(WebCores) 프로그램에 추가되어 있는 joy.exe 광고 파일은 메모리에 상주하여 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 다수의 광고창을 생성하는 동작이 발생할 수 있습니다.

이 과정에서 특정 광고 서버에서 정보를 받아 광고창이 생성되는 동작을 확인할 수 있습니다.

해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 joy.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "media help webcores" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Program Files\webcores" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\joy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - joy = C:\Program Files\webcores\joy.exe
 - webcores = C:\Program Files\webcores\webcorese.exe
HKEY_CURRENT_USER\Software\nowebcores
HKEY_CURRENT_USER\Software\webcores
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BA783CB3-27C7-4A7A-8DBA-B89CCC4A2014}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\webcores
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA783CB3-27C7-4A7A-8DBA-B89CCC4A2014}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webcores

 

해당 프로그램이 설치된 환경에서는 인터넷 검색시 ws.exe 파일 동작으로 인한 속도 저하 문제가 발생할 수 있으며, 다양한 광고창이 생성되어 불편이 예상되므로 주의하시기 바랍니다.