특정 웹 사이트(인터넷 쇼핑몰, 웹하드 등 추정) 접속시 광고 코드 또는 추천인 아이디(ID)를 추가하는 방식으로 수익을 창출하며, 제어판을 통한 프로그램 삭제 기능을 제공하지 않는 "Windowsoffice" 프로그램(MD5 : 4040b427ae37a9bcbd1c8c98e6d2de3f)에 대해 살펴보도록 하겠습니다.
특히 해당 프로그램은 마이크로소프트 오피스(Microsoft Office) 제품과 유사한 이름을 사용하여 사용자에게 혼동을 주고 있으며, 2012년 9월경 배포되었지만 현재는 죽은 프로그램으로 확인되고 있습니다.
▷ 검색 도우미 : Windows nuriweb (2011.12.17)
▷ 검색 도우미 : Windows infoaux (2012.3.10)
▷ 검색 도우미 : Windows Sidematch System (2012.3.13)
▷ 국내 악성코드 : Adware.Salumonia.816277 (Hauri ViRobot) (2012.4.4)
▷ 검색 도우미 : Windows best5info (2012.4.12)
▷ 검색 도우미 : Window naverdown (2012.5.12)
▷ [삭제] MicrosoftToppoint (2012.5.22)
▷ 자신을 삭제하는 1회용 광고 프로그램 "Windows SideGo" (2012.6.1)
▷ [삭제] WindowEngine (2012.7.17)
▷ [삭제] MicrosoftAPI (2012.10.5)
▷ 검색 도우미 : Windows Plus (2012.12.11)
또한 해당 프로그램은 일정 기간마다 다양한 이름으로 배포가 이루어지고 있었던 것으로 확인되므로 참고하시기 바랍니다.
C:\Windows\System32\windowsoffice
C:\Windows\System32\windowsoffice\office
C:\Windows\System32\windowsoffice\office\OfficeClear.exe
C:\Windows\System32\windowsoffice\office\OfficePlayer.exe :: 서비스(Application Office) 등록 파일 / 메모리 상주 프로세스
C:\Windows\System32\windowsoffice\office\unins000.dat
C:\Windows\System32\windowsoffice\office\unins000.exe :: 프로그램 삭제 파일
C:\Windows\System32\windowsoffice\office\windowsoffice.dat
C:\Windows\System32\windowsoffice\office\windowsoffice.exe
C:\Windows\System32\windowsoffice\office\OfficePlayer.exe
- MD5 : c05ddb6ea216b51570df70df77d1f42c
- AhnLab V3 : PUP/Win32.WindowsOffice (VirusTotal : 21/46)
C:\Windows\System32\windowsoffice\office\windowsoffice.exe
- MD5 : 4cde8dd6ac0421734be1303897aa9f90
- AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 8/45)
해당 프로그램은 사용자가 확인하기 어려운 "C:\Windows\System32\windowsoffice" 폴더에 파일을 생성하며, 사용자의 눈을 속이기 위하여 폴더명(프로그램명)을 MS Office와 유사하게 등록하고 있습니다.
설치된 프로그램은 "Application Office" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\windowsoffice\office\OfficePlayer.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(OfficePlayer.exe)은 "C:\Windows\System32\windowsoffice\office\windowsoffice.exe" 파일을 로딩하여 카운터(Counter) 및 업데이트 체크를 하는 동작을 합니다.
하지만 Windowsoffice 프로그램의 광고 동작에 필요한 data.db, sqlite3.dll, windowsoffice.dll 파일을 추가 생성하지 않는 문제로 테스트 시점에서는 실제적인 광고 동작은 확인되지 않고 있습니다.(※ 해당 파일명은 기존 프로그램과 비교한 추정이며, 최초 배포 당시에는 정상적으로 생성되어 windowsoffice.dll 파일을 브라우저 도우미 개체(BHO)로 등록하였을 것으로 생각됩니다.)
참고로 생성되어 실행되는 파일에서는 기존에 유사한 프로그램에서와 마찬가지로 "keimc" 디지털 서명이 포함되어 있는 것이 특징입니다.
Windowsoffice 프로그램은 사용자에 의한 삭제를 방해할 목적으로 제어판을 통한 삭제 기능을 제공하지 않으므로, 다음과 같은 절차에 따라 프로그램을 삭제하시기 바랍니다.
(1) Internet Explorer 웹 브라우저를 종료한 상태에서 "보조 프로그램 - 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 메모리에 상주하고 있는 OfficePlayer.exe 서비스 파일을 중지하시기 바랍니다.
서비스 중지를 위해서는 명령 프롬프트에 [sc stop "ApplicationOffice"] 명령어를 입력하시면 됩니다.
(2) Windows 탐색기를 실행하여 "C:\Windows\System32\windowsoffice\office\unins000.exe" 파일을 찾아 수동으로 실행하시기 바랍니다.
파일을 실행하면 "windowsoffice 제거" 창이 생성되며, "예(Y)" 버튼을 클릭하시면 자동으로 프로그램이 삭제됩니다.
(3) 프로그램 삭제 이후에는 추가적으로 "C:\Windows\System32\windowsoffice" 폴더를 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\AppDataLow\windowsoffice
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\ApplicationOffice
해당 프로그램은 마이크로소프트 오피스(Microsoft Office) 관련 프로그램으로 위장하여 삭제 기능까지 제공하지 않고 지속적인 수익 창출 활동을 할 수 있으므로 주의하시기 바랍니다.