본문 바로가기

벌새::Analysis

[삭제] Microsofts Winsrv64

국내 특정 웹하드 서비스의 회원 가입을 하는 과정에서 사용자 몰래 추천인 아이디(ID)를 추가하며, 마이크로소프트(Microsoft) 관련 프로그램으로 사용자를 속이는 "Microsofts Winsrv64" 프로그램(MD5 : 69536a7ee50047fd53ddce0a6455f7a0)에 대해 살펴보도록 하겠습니다.

 

특히 해당 프로그램은 제어판을 통한 삭제 기능을 제공하고 있지만 삭제 이후에도 정상적인 기능을 수행하여 지속적인 수익 창출을 유발하고 있는 것으로 확인되고 있습니다.

 

  <2011년~2012년 관련 정보> 검색 도우미 : Windows Plus (2012.12.11) 외 10종

 

  [삭제] Rundownplay (2013.1.1)

 

  [삭제] Windowsoffice (2013.1.2)

 

참고로 기존부터 마이크로소프트(Microsoft) 관련 프로그램으로 위장하여 유사한 기능을 하는 변종 프로그램이 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\makeguid.dll
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\wincl.exe
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64_v4.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.dat
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.exe :: 시작 프로그램 등록 파일

 

winsrv64_v4.dll 파일은 프로그램 버전에 따라 winsrv64_v(숫자).dll 형태로 등록될 수 있습니다.

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.exe
 - MD5 : 14a68f49194b2c47fdc9b7f3037f6c4f
 - AhnLab V3 : PUP/Win32.WindowsLiveProtect (VirusTotal : 8/46)

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.exe" 파일을 시작 프로그램으로 등록하여 업데이트 체크를 하도록 제작되어 있습니다.

 

참고로 "C:\Users\(사용자 계정)\AppData\Local\Microsoft" 폴더는 마이크로소프트(Microsoft) 관련 프로그램이 사용되는 기본 폴더입니다.

시작 프로그램으로 등록된 winsrv64.exe 파일은 "winsrv64 Client" 파일 설명과 "tu_rt.exe" 원본 파일 속성값을 가지고 있으며, "Gongkam" 디지털 서명을 포함하고 있는 것이 특징입니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : WindowSRV64 Object

게시자 : Gongkam

유형 : 브라우저 도우미 개체

CLSID : {170A20D3-F81A-4195-A8CA-6CD0638ABB44}

파일 : C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64_v4.dll

 

"Microsofts Winsrv64" 프로그램이 설치된 환경에서는 winsrv64_v4.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 사용자가 인터넷을 이용하는 과정에서 다음과 같은 기능을 수행합니다.

winsrv64_v4.dll 파일 내부에는 국내 특정 웹하드를 이용하는 과정에서 추천인 아이디(ID)가 등록되도록 하는 부분을 확인할 수 있습니다.

실제 사용자가 특정 웹하드 접속 후 회원 가입을 시도하는 과정에서 추천인 아이디(ID)가 추가되는 동작을 확인할 수 있습니다.

 

그러므로 해당 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "WindowSRV64 Object" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제는 제어판의 "Microsofts Winsrv64" 삭제 항목을 이용하여 삭제할 수 있는 것처럼 등록되어 있습니다.

 

[제어판을 통한 삭제시 제거되는 항목]

 

C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\unins000.exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowSRV64 = C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winsrv64_is1

하지만 제어판을 통한 프로그램 삭제 기능은 일부 파일과 레지스트리 값만 삭제할 뿐, "Microsofts Winsrv64" 프로그램의 핵심 기능은 여전히 정상적으로 동작하여 지속적으로 수익 창출이 가능합니다.

 

그러므로 제어판을 통한 프로그램 삭제 이후 추가적으로 다음의 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) Internet Explorer 웹 브라우저를 종료한 상태에서 Windows 탐색기를 통해 "C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64" 폴더를 찾아 삭제하시기 바랍니다.(※ 해당 폴더를 찾기 위해서는 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크를 하시기 바랍니다.)

 

(2) 레지스트리 편집기(regedit)를 실행하여 다음의 값들이 존재할 경우 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\AppDataLow
 - wrv = 0
HKEY_CURRENT_USER\Software\AppDataLow\winsrv64
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowSRV64 = C:\Users\(사용자 계정)\AppData\Local\Microsoft\winsrv64\winsrv64.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{170A20D3-F81A-4195-A8CA-6CD0638ABB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAEDC102-EAB2-01AF-AAFE-17D1B7BE6430}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2B013D37-BA25-D5A3-281B-9C9E0ADEE330}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsrv64.windowsrv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{170A20D3-F81A-4195-A8CA-6CD0638ABB44}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winsrv64_is1

 

"Microsofts Winsrv64" 프로그램은 마이크로소프트(Microsoft) 관련 프로그램처럼 사용자를 속이고 있으며, 제어판을 통해 프로그램이 정상적으로 삭제된 것처럼 정보를 제공하는 문제가 있으므로 주의하시기 바랍니다.