울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows ISM + Windows VOA

벌새::Analysis

인터넷 검색시 광고창이 생성되며, 삭제 기능을 제공하지 않는 "Windows ISM" 프로그램을 추가로 설치하는 검색 도우미 "Windows VOA" 프로그램(MD5 : db3d3ed534c1a73b4c4fbfcc12bb2de6)에 대해 살펴보도록 하겠습니다.

 

  <2012년 관련 정보> 제휴(스폰서) 프로그램 : Windows NCast Provide Engine (2012.12.1) 외 6종

 

  검색 도우미 : Windows NAS (2013.3.19)

 

해당 프로그램은 기존의 Windows NAS 검색 도우미 프로그램과 유사성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows ISM
C:\Program Files\Windows ISM\ismsvc.exe :: 서비스(ismsvc) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Windows VOA
C:\Program Files\Windows VOA\Uninstall.exe :: Windows VOA 프로그램 삭제 파일
C:\Program Files\Windows VOA\update.list
C:\Program Files\Windows VOA\voacfg.exe
C:\Program Files\Windows VOA\voaclt.exe :: 메모리 상주 프로세스
C:\Program Files\Windows VOA\voasvc.exe :: 서비스(voasvc) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Windows VOA\voaupdate.exe

"Windows VOA" 프로그램은 "C:\Program Files\Windows VOA" 폴더에 파일을 생성하며 시스템 시작시 다음과 같은 동작을 수행합니다.

"Windows VOA" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows VOA\voasvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(voasvc.exe)은 광고 구성값 및 프로그램 버전 체크 및 특정 업데이트 서버에서 추가적인 파일 다운로드를 수행합니다.

다운로드된 파일은 "C:\Program Files\Windows ISM\ismsvc.exe" 파일(MD5 : 03a424ac0ccbe46453cd8a1a4a2ed115)을 생성하여, 다음과 같은 서비스 항목을 등록합니다.

"Windows ISM" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows ISM\ismsvc.exe" 파일을 자동으로 실행하며, 실행된 파일은 특정 업데이트 서버로부터 구성값을 체크합니다.

현재 테스트 시점에서는 등록된 정보는 확인되지 않고 있지만, 과거 유사 변종 프로그램을 참조해보면 차후 업데이트 창 생성을 통해 추가적인 수익성 프로그램 설치 유도 행위가 존재할 가능성이 있습니다.

"Windows VOA" 프로그램의 기능을 확인해보면 사용자가 인터넷 검색시 특정 검색 키워드에 따라 자동으로 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 "C:\Program Files\Windows VOA\voaclt.exe" 프로세스를 통해 이루어지며, "C:\Program Files\Windows VOA\voasvc.exe" 서비스 파일에 종속되어 있습니다.

그러므로 "Windows VOA" 프로그램 삭제를 위해서는 실행창에 [sc stop "voasvc"] 명령어를 입력하여 실행 중인 서비스를 중지하시기 바랍니다.

그 후 제어판에 등록된 "Windows VOA" 삭제 항목을 이용하여 "C:\Program Files\Windows VOA" 폴더 및 내부 파일을 모두 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows VOA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows VOA
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_VOASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ismsvc

하지만 "Windows VOA" 프로그램 삭제 이후에도 해당 프로그램을 통해 추가적으로 설치된 삭제를 지원하지 않는 "Windows ISM" 파일(C:\Program Files\Windows ISM\ismsvc.exe)은 시스템 시작시마다 정상적으로 실행됩니다.

 

그러므로 "Windows ISM" 프로그램을 삭제하기 위해서는 추가적으로 다음과 같은 절차에 따라 삭제하시기 바랍니다.

 

(1) 실행창에 [sc stop "ismsvc"][sc delete "ismsvc"] 명령어를 순서대로 입력하여 서비스 중지 및 삭제를 하시기 바랍니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISMSVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\voasvc

(2) 다음의 폴더(파일)을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Windows ISM
  • C:\Program Files\Windows ISM\ismsvc.exe

이를 통해 삭제되지 않았던 "Windows ISM" 프로그램 삭제를 통해 차후 시스템 시작시 원치 않는 업데이트 창 생성을 통해 설치될 수 있는 행위를 사전에 예방할 수 있으리라 판단됩니다.