울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows kwinstart

벌새::Analysis

웹 브라우저의 주소 표시줄에 특정 검색 키워드를 입력할 경우 제휴 코드를 추가한 형태로 자동 연결이 이루어지며, 즐겨찾기, 시작 메뉴, 작업 표시줄 영역에 인터넷 쇼핑몰 바로가기 아이콘을 등록하는 검색 도우미 "Windows kwinstart" 프로그램(MD5 : ecc408f35aef9c81b11e6eaf7b448482)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Revealing Top Search App (2013.5.25)

 

해당 프로그램의 대표적인 배포 방식은 "Revealing Top Search App" 검색 도우미 프로그램의 권장 프로그램으로 등록되어 업데이트 창을 통해 사용자의 부주의한 동의 과정을 거쳐 설치될 수 있습니다.

해당 프로그램의 설치 파일은 2013년 5월 7일경 배포된 파일을 통해 확인하였으며, SIAD 디지털 서명이 포함되어 있는 형태입니다.

  • h**p://down.**inso.com/kwso1/ver3p/setup.exe (MD5 : 40cb6730538af09af16b96220d1cd7fe)

프로그램을 설치되는 과정에서 특정 서버로부터 추가적인 설치 파일(setup.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_kwinso.exe" 파일로 생성되지만, 테스트 환경에서는 추가 설치 동작은 확인되지 않고 있습니다.

 

이는 해당 파일(2013년 5월 7일 배포 시작)이 Themida 패커로 제작되어 특정 조건에서만 파일이 실행되어 다음과 같은 파일들을 다운로드하여 "C:\Program Files\kwinstart" 폴더에 추가 설치가 이루어질 수 있습니다.

  • h**p://down.**inso.com/kwso1/ver3p/kwinso.0
  • h**p://down.**inso.com/kwso1/ver3p/kwinso.dll (MD5 : 4cab223f8fe1a190fd25d2d9c5e07807) - Hauri ViRobot : Adware.Agent.1109040 (VT : 13/47)
  • h**p://down.**inso.com/kwso1/ver3p/kwinso.exe (MD5 : ae4a28ed67038b81a0afb67790390d04)
  • h**p://down.**inso.com/kwso1/ver3p/uninstall.exe

해당 실제 파일 다운로드 과정에서 AhnLab V3 Lite 3.0 보안 제품 환경에서는 해당 사이트에 대하여 차단이 이루어지고 있는 것을 확인할 수 있었습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\kwinstart
C:\Program Files\kwinstart\kwinstart.exe :: 시작 프로그램(kwinstart) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\kwinstart\kwinstartagent.exe :: 시작 프로그램(kwinstartagent) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\kwinstart\kwinstartvb.dll :: BHO 등록 파일
C:\Program Files\kwinstart\uninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\11st_favicon.ico
C:\Users\(사용자 계정)\AppData\Local\auction_favicon.ico
C:\Users\(사용자 계정)\AppData\Local\gmarket_favicon.ico
C:\Users\(사용자 계정)\AppData\Local\Temp\nseCE19.tmp\setup_kwinso.exe
C:\Users\(사용자 계정)\AppData\Roaming\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\G마켓.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\11번가.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G마켓.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
C:\Users\(사용자 계정)\AppData\Roaming\옥션.lnk
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\G마켓.url
C:\Users\(사용자 계정)\Favorites\Links\11번가.url
C:\Users\(사용자 계정)\Favorites\Links\G마켓.url
C:\Users\(사용자 계정)\Favorites\Links\옥션.url
C:\Users\(사용자 계정)\Favorites\연결\11번가.url
C:\Users\(사용자 계정)\Favorites\연결\G마켓.url
C:\Users\(사용자 계정)\Favorites\연결\옥션.url
C:\Users\(사용자 계정)\Favorites\옥션.url

해당 프로그램은 "C:\Program Files\kwinstart" 폴더에 주요 파일들을 생성하며, Windows 시작시 다음의 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • kwinstart = C:\Program Files\kwinstart\kwinstart.exe :: 사용자 실행 환경 체크
  • kwinstartagent = C:\Program Files\kwinstart\kwinstartagent.exe :: 버전 체크, 사용자 실행 환경 체크

자동 실행된 kwinstart.exe, kwinstartagent.exe 2개의 프로세스는 메모리에 상주하도록 구성되어 있습니다.

특히 사용자가 kwinstart.exe 프로세스를 수동으로 종료할 경우 kwinstartagent.exe 프로세스를 통해 재실행되도록 프로세스 보호 기능을 가지고 있습니다.

 

그러므로 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 "① kwinstartagent.exe → ② kwinstart.exe" 프로세스 순서로 종료를 진행하시기 바랍니다.

프로그램의 광고 기능을 살펴보면 즐겨찾기, 작업 표시줄, 시작 메뉴 영역에 11번가, G마켓, 옥션 바로가기 아이콘을 등록합니다.

이를 통해 사용자가 해당 인터넷 쇼핑몰 바로가기 아이콘을 통해 접속시 특정 광고 서버를 경유하여 제휴 코드(click.interich.com)가 추가되는 동작을 확인할 수 있습니다.

또한 웹 브라우저의 주소 표시줄에 특정 검색 키워드를 입력하여 검색을 시도할 경우 "Daum 검색(search.daum.net/bing)"이 아니라 해당 웹 사이트로 자동 연결이 이루어지는 과정에서 제휴 코드가 추가되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : kwinstartvb Class

게시자 : SIAD

유형 : 브라우저 도우미 개체

CLSID : {546B17D8-0CAE-451B-B953-673628864920}

파일 : C:\Program Files\kwinstart\kwinstartvb.dll

 

해당 광고 동작은 웹 브라우저 동작시 kwinstartvb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 웹 사이트 연결 등의 광고 행위가 이루어지도록 구성되어 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "kwinstartvb Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows kwinstart" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\kwinstart
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - kwinstart = C:\Program Files\kwinstart\kwinstart.exe
 - kwinstartagent = C:\Program Files\kwinstart\kwinstartagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{546B17D8-0CAE-451B-B953-673628864920}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{73421700-89DB-4468-8032-719DAB86B4FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\kwinstart
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\kwinstart.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{175DB8C5-A8E8-4342-96FF-DD2DB699F44F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{546B17D8-0CAE-451B-B953-673628864920}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
kwinstart

 

하지만 프로그램 삭제 이후에도 인터넷 쇼핑몰 바로가기 아이콘은 여전히 존재하여 지속적인 수익 활동을 하므로 추가적으로 다음의 파일들을 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\11st_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Local\auction_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Local\gmarket_favicon.ico
  • C:\Users\(사용자 계정)\AppData\Local\Temp\nseCE19.tmp\setup_kwinso.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\G마켓.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\G마켓.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\11번가.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\G마켓.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\옥션.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\옥션.lnk
  • C:\Users\(사용자 계정)\Favorites\11번가.url
  • C:\Users\(사용자 계정)\Favorites\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\Links\11번가.url
  • C:\Users\(사용자 계정)\Favorites\Links\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\Links\옥션.url
  • C:\Users\(사용자 계정)\Favorites\연결\11번가.url
  • C:\Users\(사용자 계정)\Favorites\연결\G마켓.url
  • C:\Users\(사용자 계정)\Favorites\연결\옥션.url
  • C:\Users\(사용자 계정)\Favorites\옥션.url

특히 작업 표시줄과 시작 메뉴 영역에 등록된 11번가, G마켓, 옥션 바로가기 아이콘은 시작 메뉴에 등록된 아이콘에 마우스 우클릭을 통해 "작업 표시줄에서 제거, 시작 메뉴에서 제거"를 순차적으로 클릭하여 각각의 바로가기 아이콘을 제거하실 수 있습니다.

 

또한 "즐겨찾기 모음(C:\Users\(사용자 계정)\Favorites\Links)"에 등록된 11번가, G마켓, 옥션 바로가기 아이콘을 빼놓지 마시고 삭제를 하시기 바랍니다.

 

 "Windows kwinstart" 설치 파일 관련 추가 정보

 

최근 확인된 "Windows kwinstart" 프로그램 설치 목적으로 배포되고 있는 일부 설치 파일은 외부 해킹에 의해 변조가 이루어져서 설치시 온라인 게임핵(OnlineGameHack) 악성코드에 감염이 이루어질 수 있는 부분을 확인하였습니다.

해당 배포 파일(MD5 : 16e090a0002868af9ed1d407a31707eb)은 위에서 소개한 설치 파일과 비교하여 SIAD 디지털 서명이 포함되어 있지 않으며, 2013년 5월 25일경부터 유포가 이루어지고 있습니다.

 

참고로 해당 악성 파일에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.Cidox (VT : 22/47) 진단명으로 진단되고 있습니다.

  • C:\WINDOWS\system32\drivers\43d1f219.sys
  • C:\WINDOWS\system32\kakutk.dll
  • C:\WINDOWS\system32\drivers\3f7ac79f.sys
  • C:\WINDOWS\system32\wshtcpip.dll
  • C:\WINDOWS\system32\naverdsb.dll
  • C:\WINDOWS\system32\midimap.dll

이를 통해 대략적으로 위와 같은 악성 파일이 생성, 패치되어 온라인 게임 계정 정보를 수집하는 것으로 추정됩니다.

 

그러므로 위와 같이 관리되지 않는 프로그램 설치로 인하여 프로그램 배포자에게는 광고 수익을 제공해주면서, 자신도 모르게 설치된 추가적인 악성 파일로 인하여 온라인 게임 정보가 탈취될 수 있으므로 주의하시기 바랍니다.