울지않는벌새 : Security, Movie & Society

[삭제] Window Guide

벌새::Analysis

시작 메뉴, 즐겨찾기 영역에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 인터넷 검색시 후팝업 광고창을 생성하는 검색 도우미 "Window Guide" 프로그램(MD5 : 24eeb608379b94a0871088ead7646391)에 대해 살펴보도록 하겠습니다.


   검색 도우미 : Window Viewer (2012.11.8)


참고로 해당 프로그램은 기존의 "Window Viewer" 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

해당 프로그램의 설치 과정에서는 추가적인 설치 파일(MD5 : 1d4c88607641c732067bedb1d2cef8ac)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(3자리 영문)3.tmp\setup_windgdo.exe" 파일로 생성하며, Window Guide 프로그램 폴더 내부에 파일(windgdo.dll, windgdo_uninstall.exe)을 추가합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\11번가.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\Application Data\옥션.lnk
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11st_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auction_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarket_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(3자리 영문)3.tmp\setup_windgdo.exe
C:\Program Files\windoguide
C:\Program Files\windoguide\uninstall.exe :: Window Guide 프로그램 삭제 파일
C:\Program Files\windoguide\wgbho.dll :: BHO(windoguide Class) 등록 파일
C:\Program Files\windoguide\windgdo_uninstall.exe
C:\Program Files\windoguide\windgdo.dll :: BHO(windgdo) 등록 파일
C:\Program Files\windoguide\windoguide.exe :: 시작 프로그램(windoguide) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\windoguide\windoguideagent.exe :: 시작 프로그램(windoguideagent) 등록 파일 / 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\Program Files\windoguide\windgdo.dll
 - MD5 : 090109be314ca2f8ee8de5903794730f
 - AhnLab V3 : PUP/Win32.Addenbar (VirusTotal : 9/45)

해당 프로그램은 "C:\Program Files\windoguide" 폴더에 주요 파일을 생성하며, Windows 시작시 다음과 같은 3개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • windoguide = C:\Program Files\windoguide\windoguide.exe
  • windoguideagent = C:\Program Files\windoguide\windoguideagent.exe
  • windoguideopt = C:\Program Files\windoguide\windopt.exe :: 존재하지 않는 파일

자동 실행된 windoguide.exe 파일은 특정 서버에 실행 정보를 체크하며, windoguideagent.exe 파일은 프로그램 버전 체크를 하도록 구성되어 있습니다.

 

1. Window Guide 프로그램

"Window Guide" 프로그램(wgbho.dll, windoguide.exe, windoguideagent.exe)이 설치된 환경에서는 웹 브라우저의 즐겨찾기 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하며, 그 외에 시작 메뉴 영역에도 바로가기 메뉴를 추가하고 있습니다.

위와 같은 인터넷 쇼핑몰 바로가기 아이콘, 주소 표시줄 검색을 통한 바로 연결, 인터넷 쇼핑몰 이용시 후팝업 생성과 같은 다양한 방식을 통해 특정 광고 코드(click.interich.com)를 포함한 인터넷 쇼핑몰에 접근하여 수익을 창출합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : windoguide Class

게시자 : winsys

유형 : 브라우저 도우미 개체

CLSID : {46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}

파일 : C:\Program Files\windoguide\wgbho.dll

 

위와 같은 광고 행위는 Internet Explorer 웹 브라우저 실행시 wgbho.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어집니다.

 

  검색 도우미 : 윈애드툴(WinAddTool) (2012.1.10)

 

특히 파일에 추가된 디지털 서명(winsys)를 기준으로 기존의 윈애드툴(WinAddTool) 검색 도우미 프로그램과 연관성이 있는 것으로 보이므로 참고하시기 바랍니다.

 

그러므로 해당 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "windoguide Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

만약 사용자가 단순히 추가 기능 관리에 등록된 브라우저 도우미 개체(BHO) 항목을 "사용 안 함"으로 변경한 후 프로그램 자체를 삭제하지 않은 상태에서 시스템 재부팅을 할 경우, 자동 실행되는 windoguideagent.exe 파일을 통해 "windoguide Class" 항목은 재활성화되는 보호 기능을 확인할 수 있습니다.

 

그러므로 브라우저 도우미 개체(BHO)에 등록된 항목의 기능을 중지하기 위해서는 반드시 "Window Guide" 프로그램 자체를 삭제하셔야 합니다.

 

2. windgdo.dll 프로그램

 

Window Guide 프로그램의 설치 과정에서 추가적인 설치 파일(setup_windgdo.exe) 다운로드 및 실행을 통해 설치된 windgdo.dll 프로그램은 브라우저 도우미 개체(BHO)에 자신을 등록하여 동작하도록 구성되어 있습니다.

이는 기존의 Window Viewer 프로그램 설치시 추가되는 Windvo.dll 파일과 동일한 기능을 수행하는 것으로, 사용자가 특정 조건을 통해 웹 사이트에 접속하는 과정에서 코드 추가를 통해 수익을 창출하는 것으로 보입니다.

  • h**p://wind***.com/wdg1/ovn_o.asp?ver=2
  • h**p://wind***.com/wdg1/sidebar.asp?bn=0&qy=

특히 해당 코드는 과거 Overtls 악성코드에서 많이 발견되었던 것으로 보이며, 이를 통해 사용자 몰래 회원 가입, 구매 활동 등의 행위가 배포자에게 수익을 안겨줄 것으로 추정됩니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : windgdo

게시자 : winsys

유형 : 브라우저 도우미 개체

CLSID : {CC01FC6C-ED00-4E28-BCBC-F4AD5F9F0D7D}

파일 : c:\Program Files\windoguide\windgdo.dll

 

해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "windgdo" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

3. Window Guide 프로그램의 프로세스 보호 기능

Window Guide 프로그램 설치를 통해 시스템 시작시 자동 실행되는 windoguide.exe, windoguideagent.exe 2개의 프로세스는 메모리에 상주하며, 사용자가 windoguide.exe 프로세스를 종료할 경우 자가 보호 기능을 통해 재실행되는 동작을 확인할 수 있습니다.

이같은 windoguide.exe 프로세스 보호 기능은 windoguideagent.exe 프로세스를 통해 주기적으로 실행 여부를 체크하여 windoguide.exe 프로세스가 종료된 경우 재생성하는 것을 확인할 수 있습니다.

그러므로 프로그램 삭제를 위해 프로세스를 종료하기 위해서는 Windows 작업 관리자를 실행하여 windoguideagent.exe 프로세스를 선택하여 "프로세스 트리 끝내기" 메뉴를 클릭하시면 2개의 프로세스 모두 함께 종료할 수 있습니다.(※ 또는 windoguideagent.exe 프로세스를 먼저 종료한 후 windoguide.exe 프로세스를 종료해도 됩니다.)

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Window Guide" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

하지만 프로그램 삭제 후에도 "Window Guide" 프로그램의 핵심적인 기능을 담당하는 바로가기 아이콘은 여전히 존재하므로 추가적으로 다음과 같은 파일들은 삭제하시기 바랍니다.

 

(1) 시작 메뉴에 등록된 11번가, G마켓, 옥션 메뉴 제거하기

시작 메뉴에 등록된 11번가, G마켓, 옥션 바로가기 메뉴에 마우스 우클릭을 통해 생성된 "시작 메뉴에서 제거" 메뉴를 선택하여 삭제하시기 바랍니다.

 

(2) 다음의 파일들은 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\11번가.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\G마켓.lnk
  • C:\Documents and Settings\(사용자 계정)\Application Data\옥션.lnk
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11st_favicon.ico
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auction_favicon.ico
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarket_favicon.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windoguide = C:\Program Files\windoguide\windoguide.exe
 - windoguideagent = C:\Program Files\windoguide\windoguideagent.exe
 - windoguideopt = C:\Program Files\windoguide\windopt.exe
HKEY_CURRENT_USER\Software\windoguide
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-ED00-4E28-BCBC-F4AD5F9F0D7D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{B56FE57A-6CF6-4B63-8969-8FEB286FCE5E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\sidehelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{EF4C3C36-3BCF-4037-AFC9-0EE949727B21}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windgdo.windgdo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{46E54E77-A5AE-4AB0-B27F-22DA3F95FAD6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-ED00-4E28-BCBC-F4AD5F9F0D7D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Window Guide

 

광고 프로그램을 통해 설치되는 바로가기 아이콘 중에서는 프로그램 삭제 이후에도 삭제되지 않고 지속적으로 수익을 낼 수 있도록 남겨두는 경우를 많이 발견할 수 있으므로, 사용자가 등록한 바로가기 아이콘이 아닌 경우에는 삭제를 하시고 인터넷을 이용하시기 바랍니다.