인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Windows NAS" 프로그램(MD5 : 9b123dc108b1ccb2e0d4e70c4e4065a5)에 대해 살펴보도록 하겠습니다.
해당 프로그램은 2013년 3월 13일경부터 배포가 이루어졌으며, 안랩 클라우드(AhnLab Cloud) 기준으로 31,000대 이상에서 발견되고 있습니다.
C:\Program Files\Windows NAS
C:\Program Files\Windows NAS\nascfg.exe
C:\Program Files\Windows NAS\nasclt.exe :: 메모리 상주 프로세스
C:\Program Files\Windows NAS\nassvc.exe :: 서비스(nassvc) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Windows NAS\nasupdate.exe
C:\Program Files\Windows NAS\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows NAS\update.list
C:\Program Files\Windows NAS\nasclt.exe
- MD5 : 1be45e27d1572d8c4c8bdd320c6671f2
- AhnLab V3 : Win-PUP/Helper.WindowsNAS.94160 (VirusTotal : 2/45)
C:\Program Files\Windows NAS\nasupdate.exe
- MD5 : a77e993d5fb55f9fdbd54860e67b335c
- AhnLab V3 : Win-PUP/Helper.WindowsNAS.111056 (VirusTotal : 3/45)
해당 프로그램은 "nassvc(Windows NAS Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows NAS\nassvc.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일은 프로그램 업데이트 체크 및 광고 구성값을 받아오는 동작을 확인할 수 있습니다.
프로그램이 설치된 환경에서 인터넷 검색을 할 경우 추가적인 광고창이 생성되며, 특히 불법 도박 및 성인 관련 검색 키워드 값이 다수 등록되어 있는 점이 특징입니다.
해당 광고 동작은 메모리에 상주하는 nasclt.exe, nassvc.exe 프로세스를 통해 이루어지도록 제작되어 있습니다.
그러므로 광고 동작 중지 및 프로그램 삭제시에는 실행창에 [sc stop "nassvc"] 명령어를 입력하여 실행 중인 서비스 중지를 하시기 바랍니다.
그 후 제어판에 등록된 "Windows NAS" 삭제 항목을 이용하여 프로그램을 삭제하실 수 있습니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows NAS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NAS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NASSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nassvc
▷ 검색 도우미 : Windows Assist Service (2012.6.18)
▷ 검색 도우미 : Windows Key Pack (2012.6.23)
▷ 검색 도우미 : Windows Key Manager (2012.8.5)
▷ 검색 도우미 : Windows Smart Pack 1.0 (2012.8.6)
▷ 검색 도우미 : Windows Search Pack (2012.8.6)
▷ 제휴(스폰서) 프로그램 : Windows NS Assist (2012.10.18)
▷ 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1)
"Windows NAS" 프로그램은 광고창을 생성하는 검색 도우미 기능 이외에 차후 업데이트 기능을 통해 "정규 업데이트 및 추가 프로그램 선택"과 유사한 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도할 가능성이 있으므로 주의하시기 바랍니다.