본문 바로가기

벌새::Analysis

검색 도우미 : Windows purchase helper Uninstall

반응형

특정 인터넷 쇼핑몰을 이용하는 과정에서 후팝업 방식으로 광고 코드가 추가된 상품 페이지를 생성하는 "윈도우즈 쇼핑 구매 도우미" 프로그램으로 불리우는 검색 도우미 "Windows purchase helper Uninstall" 프로그램(MD5 : ef7dd2b488a6b547165352ca20ab1e6b)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 윈도우즈탭(WindowsTab) (2012.4.12)

 

해당 프로그램은 윈도우즈탭(WindowsTab) 검색 도우미 프로그램과 유사성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper
C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\windowsph.exe :: 메모리 상주 프로세스
C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\windowsphup.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\windowsph.exe
 - MD5 : 6c04dba45a0ef4a98556a802d95a9744
 - nProtect : Adware/W32.KrAdword.2074624 (VirusTotal : 6/44)

 

C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\windowsphup.exe
 - MD5 : 1d5a78d715b4f923462b12c5f52b4e43
 - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 4/44)

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper" 폴더에 파일을 생성하며, Windows 시작시 windowsphup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

참고로 자동 실행된 windowsphup.exe 파일은 프로그램 버전 체크 후 windowsph.exe 파일을 로딩하여 메모리에 상주하도록 제작되어 있습니다.

 

프로그램의 정보를 살펴보면 기존의 윈도우즈탭(WindowsTab) 검색 도우미 프로그램과 마찬가지로 새 탭의 시작 페이지 변경 및 인터넷 검색시 광고가 노출되는 것으로 소개되고 있지만, 테스트 과정에서는 해당 동작은 확인되지 않고 있습니다.

 

대신 다음과 같은 특정 인터넷 쇼핑몰을 이용하는 과정에서 후팝업 방식을 통한 광고 코드 추가 방식이 확인되고 있습니다.

예를 들어 네이버(Naver)에서 특정 검색 키워드를 이용하여 옥션(Auction) 특정 페이지로 접속을 할 경우, 제공되는 정상적인 광고(AD)를 통해 특정 상품 페이지(itempage3.auction.co.kr)로 접속을 하는 경우를 가정해 보겠습니다.

최종 상품 페이지에 접속하는 경우에는 외부의 광고 코드 삽입 동작이 발생하지 않는 것을 확인할 수 있습니다.

 

사용자가 해당 상품 페이지 창을 종료(닫기)할 경우 동일한 상품 페이지 창을 후팝업 방식으로 재생성하는 동작을 확인할 수 있습니다.

이 과정에서는 특정 광고 코드에 파트너 아이디(ID)가 포함된 상태로 옥션(Auction) 상품 페이지에 접속한 것으로 표시되는 차이를 볼 수 있습니다.

위와 같은 상업적 광고 동작의 중지를 위해서는 Windows 작업 관리자를 실행하여 windowsph.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "windows purchase helper Uninstall" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowsPurchaseHelper = "C:\Documents and Settings\All Users\Application Data\WindowsPurchaseHelper\windowsphup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WindowsPurchaseHelper
HKEY_CURRENT_USER\Software\WindowsPurchaseHelper

 

이런 방식의 상업적 행위는 사용자 입장에서는 쉽게 확인할 수 없는 방식으로 수익 창출이 가능할 것으로 보이므로 주의하시기 바랍니다.

 

반응형