본문 바로가기

벌새::Analysis

검색 도우미 : Windows Plus

특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하며, 웹하드 관련 인터넷 검색시 추가적인 웹 사이트가 연결되는 검색 도우미 "Windows Plus" 프로그램(MD5 : 838082873757096f12aae28f5f6159b6)에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 2012년 8월 14일경 배포된 파일로 현재는 시스템 시작 과정에서 자가 삭제 방식으로 제거가 되고 있는 죽은 프로그램임을 밝힙니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\windowplus
C:\Program Files\windowplus\data.db
C:\Program Files\windowplus\sqlite3.dll
C:\Program Files\windowplus\unins000.dat
C:\Program Files\windowplus\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\windowplus\wfree.exe
C:\Program Files\windowplus\windowplus.dat
C:\Program Files\windowplus\windowplus.dll :: BHO 등록 파일
C:\Program Files\windowplus\windowplus.exe :: 시작 프로그램 등록 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\windowplus\windowplus.exe
 - MD5 : 686cd11c639b9ebf4c01e61f2f2c97b7
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 4/43)

 

해당 프로그램은 "C:\Program Files\windowplus" 폴더에 파일을 생성하며, Windows 시작시 windowplus.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일은 특정 업데이트 서버로부터 wina0001.exe 파일을 다운로드하여 "C:\WINDOWS\system32\wina0001.exe_tmp" 파일 생성을 통해 "Windows Plus" 프로그램을 자가 삭제 처리를 합니다.(※ 이는 "Windows Plus" 프로그램 배포가 2012년 8월경 이루어졌으며, 삭제 시도는 2012년 9월경으로 1개월 정도 활동 후 흔적을 제거하는 것으로 추정됩니다.)

 

이에 따라 해당 글에서는 당시 프로그램이 활동하였을 상황을 가정하여 동작 및 삭제 방법에 대해 살펴보도록 하겠습니다.

"C:\Program Files\windowplus" 폴더에 생성된 windowplus.exe 파일은 "WindowPlus Corporation"에서 제작된 파일처럼 등록되어 있습니다.

파일의 속성값을 자세히 살펴보면 원본 파일 이름으로 tu_rt.exe 파일로 등록되어 있으며, "K&B" 디지털 서명을 가지고 있습니다.

 

  검색 도우미 : Windows nuriweb (2011.12.17)

 

  검색 도우미 : Windows infoaux (2012.3.10)

 

  검색 도우미 : Windows Sidematch System (2012.3.13)

 

  국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)

 

  검색 도우미 : Windows best5info (2012.4.12)

 

  검색 도우미 : Window naverdown (2012.5.12)

 

  [삭제] MicrosoftToppoint (2012.5.22)

 

  자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)

 

  [삭제] WindowEngine (2012.7.17)

 

  [삭제] MicrosoftAPI (2012.10.5)

 

이는 기존의 keimc 디지털 서명을 이용하여 웹하드 추천인 아이디(ID)를 추가하던 프로그램과 유사성이 있으므로 참고하시기 바랍니다.

광고 기능을 살펴보면 우선 특정 인터넷 쇼핑몰(100개)에 접속할 경우 광고 코드(click.clickstory.co.kr)가 추가되도록 제작되어 있습니다.

실제 사용자가 11번가 인터넷 쇼핑몰 접속시 추가적인 창을 통해 동일한 11번가 인터넷 쇼핑몰 창이 생성되며, 이 과정에서 광고 코드가 추가되는 동작을 확인할 수 있습니다.

또 다른 광고 동작으로는 인터넷 검색시 특정 검색 키워드(196개)를 입력할 경우 광고창을 생성하도록 제작되어 있습니다.

테스트에서는 연결되는 웹 사이트가 이미 폐쇄되어 정상적으로 연결이 이루어지지 않는 것으로 확인되며, 정상적으로 연결된 경우에는 다양한 웹하드 홍보 콘텐츠를 통해 회원 가입을 유도할 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : windowplus Class

게시자 : K&B

유형 : 브라우저 도우미 개체

CLSID : {273B86E5-397D-4211-B246-6E6E99C2389C}

파일 : C:\Program Files\windowplus\windowplus.dll

 

해당 광고 동작은 windowplus.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "windowplus Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Windows Plus" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windowplus = c:\program files\windowplus\windowplus.exe
HKEY_CURRENT_USER\Software\windowplus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{273B86E5-397D-4211-B246-6E6E99C2389C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{273B86E5-397D-4211-B246-6E6E99C2389C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\windowplus_is1

 

현재 "Windows Plus" 프로그램은 업데이트를 통해 자동으로 삭제 처리가 되는 방식으로 사용자 PC에는 남아있지 않겠지만, 이런 방식으로 사용자 PC에 설치되어 수익을 낸 후 흔적을 남기지 않을 목적으로 스스로 삭제까지 되는 프로그램이 있으므로 주의하시기 바랍니다.