본문 바로가기
벌새::Analysis

검색 도우미 : INIWebLink

벌새 2013. 3. 28. 13:29
반응형

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "INIWebLink" 프로그램(MD5 : c40bf2d513cd8d6bbc1004e12b76f986)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\iniweblink
C:\Documents and Settings\All Users\Application Data\iniweblink\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\iniweblink\weblink.exe :: 메모리 상주 프로세스
C:\Documents and Settings\All Users\Application Data\iniweblink\weblinkup.exe :: 시작 프로그램 등록 파일
C:\Program Files\pims
C:\Program Files\pims\PIIMSService.exe :: 서비스(PIIMSService) 등록 파일

  • C:\Documents and Settings\All Users\Application Data\iniweblink\weblink.exe (MD5 : 31be5d72ac060e78eb3a56009a07bcb8) - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 1/46)

해당 프로그램은 "C:\Documents and Settings\All Users\Application Data\iniweblink" 폴더에 파일을 생성하며, Windows 시작시 weblinkup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 weblinkup.exe 파일은 프로그램 버전 체크를 한 후, 광고 기능을 수행하는 weblink.exe 파일을 로딩하여 메모리에 상주시킵니다.

추가적으로 INIWebLink 프로그램과 함께 설치되는 "C:\Program Files\pims\PIIMSService.exe" 파일은 "PIIMSService(piims)" 서비스 항목을 등록하여 시스템 시작시 자동으로 실행되도록 구성되어 있습니다.

자동 실행된 서비스 파일(PIIMSService.exe)은 특정 서버와 통신하는 동작을 확인할 수 있으며, 서비스 설명(PC Information Management Service)을 봐서는 사용자 PC의 정보를 체크할 것으로 추정됩니다.

  검색 도우미 : searchup (2012.8.6)

 

이렇게 설치된 INIWebLink 프로그램은 사용자가 인터넷 검색시 추가적인 광고창을 생성하는 동작이 이루어지며, 이 과정에서 기존의 서치업(SearchUp) 광고 솔루션과 연관된 부분이 존재합니다.

해당 광고 동작은 weblink.exe 프로세스를 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 weblink.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "INIWebLink[024] uninstall" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 등록된 프로그램 이름은 배포 파일에 따라 숫자가 달라질 수 있을 것으로 추정됩니다.)

제어판을 통한 프로그램 삭제 이후에도 서비스 항목에 등록된 "C:\Program Files\pims\PIIMSService.exe" 파일(MD5 : feb4c85ed86de94d154ccab8e58a6969)은 삭제되지 않고 시스템 시작시마다 통신하는 부분이 확인되고 있습니다.

 

그러므로 프로그램의 깨끗한 삭제를 위해서는 다음과 같은 추가적인 절차에 따라 프로그램을 삭제하시기 바랍니다.

 

(1) 실행창에 [sc delete "PIIMSService"] 명령어를 입력하여 서비스를 삭제하시기 바랍니다.

 

(2) Windows 탐색기를 실행하여 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

 

  • C:\Program Files\pims
  • C:\Program Files\pims\PIIMSService.exe

(3) 레지스트리 편집기(regedit)를 실행하여 제시된 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\iniweblink
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iniweblink = "C:\Documents and Settings\All Users\Application Data\iniweblink\weblinkup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\iniweblink
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PIIMSSERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PIIMSService

 

특히 제어판에 등록된 "INIWebLink[024] uninstall" 프로그램 이름이 금융권에서 제공하는 보안 솔루션(INISAFE 등)과 유사하므로 혼동하지 않도록 주의하시기 바랍니다.

728x90
반응형

태그

, , , , , , , , , , , , , , , , , , , , , , , ,
  • 2013.03.31 18:23 댓글주소 수정/삭제 댓글쓰기

    감사합니다 ㅠㅠ

  • 정말 감사합니다 2013.07.04 17:05 댓글주소 수정/삭제 댓글쓰기

    저도 은행관련 프로그램인줄 알고 삭제를 안했었네요
    단순히 팝업제공뿐만이 아니라 정보를 빼간다니 어이가없네요
    암튼 무사히 삭제마쳤습니다 감사합니다!!

  • 감사합니다 2013.07.08 22:26 댓글주소 수정/삭제 댓글쓰기

    정말 감사드립니다. 요즘 컴퓨터의 속도가 현저히 느려지고 검색을 할때마다 팝업창이 5개씩 떠서 아주 미쳐버릴 지경이었는데 덕분에 다 삭제할 수 있었습니다. 정말 감사드립니다.

    • Favicon of https://hummingbird.tistory.com BlogIcon 벌새 2013.07.08 22:47 신고 댓글주소 수정/삭제

      해결이 되셨다니 다행입니다. 이런 프로그램이 설치되었다면 다른 유사한 프로그램들이 함께 설치되었을 수 있으므로 잘 확인해 보시기 바랍니다.ㅠㅠ

  • Favicon of https://namocom.tistory.com BlogIcon 나모찾기 2013.08.29 09:34 신고 댓글주소 수정/삭제 댓글쓰기

    익스플러어 사용을 하면 광고창이 2개씩 뜨고 그래서 왜그런가 했는데 이것 때문일 수 도 있군요. 크롬에서는 광고창이 안뜨던데 익스플러어의 취약성이 있는 걸까요...

    • Favicon of https://hummingbird.tistory.com BlogIcon 벌새 2013.08.29 10:22 신고 댓글주소 수정/삭제

      웹 브라우저 취약점이 아니라 상당수의 국내 광고 프로그램은 IE 웹 브라우저를 대상으로 합니다. 이유는 사용자가 많기 때문이죠.

  • ㅃ쀼쀼 2014.12.15 22:45 댓글주소 수정/삭제 댓글쓰기

    저는 실행창에 sc delete "PIIMSService"를 입력하면 삭제할수 없다고 나오네요ㅠㅠㅠ혹시 방법을 아시나요??

    • Favicon of https://hummingbird.tistory.com BlogIcon 벌새 2014.12.15 23:08 신고 댓글주소 수정/삭제

      PIIMSService 서비스가 존재하지 않을 경우에는 그럴 수 있으며, 이 글은 Windows XP 기준이므로 Windows 7 운영 체제의 경우에는 명령 프롬프트를 관리자 권한으로 실행하여 명령어를 입력해야 합니다.

티스토리툴바