본문 바로가기
벌새::Analysis

검색 도우미 : Windows Everlive

벌새 2012. 11. 27. 00:14
반응형

인터넷 검색시 광고 코드가 추가된 인터넷 쇼핑몰(11번가, 옥션 등) 광고창을 생성하는 검색 도우미 "Windows Everlive" 프로그램(MD5 : f6b22aa1b366b2c8dfe7ba8e87565278)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Windows Assist Service (2012.6.18)

 

  검색 도우미 : Windows Key Pack (2012.6.23)

 

  검색 도우미 : Windows Key Manager (2012.8.5)

 

  검색 도우미 : Windows Smart Pack 1.0 (2012.8.6)

 

  검색 도우미 : Windows Search Pack (2012.8.6)

 

해당 프로그램은 기존에 다양한 이름의 유사한 검색 도우미 프로그램이 있었으므로 참고하시기 바랍니다.

 

프로그램 설치 과정을 살펴보면 "C:\Program Files\Windows Everlive\winever_ev700.exe" 파일(MD5 : eb1d6123356e77aa94c0d3298319efe8)을 생성하여 프로그램을 설치한 후 자가 삭제됩니다.(※ 생성된 winever_ev700.exe 파일명은 winever_(파트너 ID).exe 패턴으로 추정됩니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Everlive
C:\Program Files\Windows Everlive\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Everlive\winesrp.exe
C:\Program Files\Windows Everlive\winesru.exe
C:\Program Files\Windows Everlive\winesrv.exe :: 서비스(Windows Everlive Service) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Windows Everlive\winever.exe :: 메모리 상주 프로세스

해당 프로그램은 "C:\Program Files\Windows Everlive" 폴더에 파일을 생성하며, "C:\Program Files\Windows Everlive\winesru.exe" 파일을 통해 설치 PC의 Mac Address, 운영 체제(OS) 정보를 체크합니다.

프로그램이 설치된 이후 3분이 경과하면 Windows Everlive 프로그램의 3개 파일(winesrp.exe, winesru.exe, winesrv.exe) 버전 정보를 체크하여 구버전이 존재할 경우 업데이트를 진행합니다.

프로그램이 설치된 환경에서 "winesrv32(Windows Everlive Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Everlive\winesrv.exe" 파일을 자동 실행하며, 실행된 서비스 파일은 추가적으로 winever.exe 파일을 로딩합니다.

추가로 실행된 winever.exe 파일은 광고 구성값을 체크하는 동작을 확인할 수 있습니다.

실제 광고 동작은 사용자가 인터넷 검색시 특정 검색 키워드 값을 입력할 경우 자동으로 광고창이 생성되는 동작이 이루어지며, 이 과정에서 광고 코드(click.interich.com)가 추가되는 것을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 winever.exe 프로세스를 통해 이루어지므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 winever.exe 프로세스를 수동으로 종료하시기 바랍니다.

또한 실행 중인 서비스를 중지하기 위해서는 실행창에 [sc stop "winesrv32"] 명령어를 입력하여 winesrv.exe 서비스 프로세스를 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "Windows Everlive" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
 - winesru = (년월일)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Everlive
HKEY_LOCAL_MACHINE\SOFTWARE\Windows Everlive
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINESRV32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winesrv32

 

해당 프로그램이 설치된 환경에서는 인터넷 검색시 원치 않는 광고창 생성으로 불편이 예상되며, 광고창 생성 동작이 어떤 프로그램으로 인한 문제인지 사용자가 확인하기 어려우므로 주의하시기 바랍니다.

728x90
반응형

티스토리툴바