본문 바로가기

벌새::Analysis

검색 도우미 : Window Network Manager

특정 웹 사이트 접속 또는 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Window Network Manager" 프로그램(MD5 : df4036e980b5ef616f4843cea3fc88de)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Advenced Top C Manager (2012.3.15)

 

  국내 악성코드 : Smart Connection tc services (2012.9.15)

 

  검색 도우미 : SocureWeb Control (2012.11.28)

 

  검색 도우미 : XocureWeb Control HiSearch (2012.12.2)

 

  검색 도우미 : Network Manager Win (2013.3.21)

 

해당 프로그램은 기존의 탑클릭(TopClick) 검색 도우미 계열과 연관성이 있으므로 참고하시기 바랍니다.

 

프로그램 설치 과정에서 배포 파일이 실행되면 임의의 폴더에 wnm.exe 파일(MD5 : d3c467cbfc2e9bc591c689d9a38dbd12)을 생성하여 프로그램을 설치한 후 자가 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Window Network Manager
C:\Program Files\Window Network Manager\cCommon.ocx
C:\Program Files\Window Network Manager\rule.rtf
C:\Program Files\Window Network Manager\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Window Network Manager\WindowNetworkManager.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Window Network Manager\WindowNetworkManagerUninstall.exe
C:\WINDOWS\system32\cCommon.ocx
C:\WINDOWS\system32\MSCMCKO.DLL
C:\WINDOWS\system32\MSCOMCTL.OCX
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\MSWINSCK.OCX
C:\WINDOWS\system32\VB6KO.DLL
C:\WINDOWS\system32\VB6STKIT.DLL
C:\WINDOWS\SysWOW64
C:\WINDOWS\SysWOW64\asycfilt.dll
C:\WINDOWS\SysWOW64\cCommon.ocx
C:\WINDOWS\SysWOW64\comcat.dll
C:\WINDOWS\SysWOW64\IPHLPAPI.DLL
C:\WINDOWS\SysWOW64\MSCMCKO.DLL
C:\WINDOWS\SysWOW64\MSCOMCTL.OCX
C:\WINDOWS\SysWOW64\MSINET.OCX
C:\WINDOWS\SysWOW64\msvbvm60.dll
C:\WINDOWS\SysWOW64\MSWINSCK.OCX
C:\WINDOWS\SysWOW64\oleacc.dll
C:\WINDOWS\SysWOW64\oleaut32.dll
C:\WINDOWS\SysWOW64\olepro32.dll
C:\WINDOWS\SysWOW64\psapi.dll
C:\WINDOWS\SysWOW64\stdole2.tlb
C:\WINDOWS\SysWOW64\urlmon.dll
C:\WINDOWS\SysWOW64\VB6KO.DLL
C:\WINDOWS\SysWOW64\VB6STKIT.DLL
C:\WINDOWS\SysWOW64\winhttp.dll
C:\WINDOWS\SysWOW64\wininet.dll

해당 프로그램은 "C:\Program Files\Window Network Manager" 폴더에 주요 파일을 생성하며, Windows 시작시 "C:\Program Files\Window Network Manager\WindowNetworkManager.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

이를 통해 자동 실행된 파일(WindowNetworkManager.exe)은 광고 구성값 체크를 통해 메모리에 상주합니다.

프로그램이 설치된 환경에서 사용자가 특정 웹 사이트에 접속할 경우 자동으로 추가적인 광고창이 생성되는 동작을 확인할 수 있으며, 인터넷 검색시에도 유사한 방식으로 제휴 코드(click.linkprice.com)가 추가된 광고창이 생성될 수 있습니다.

해당 광고 동작은 메모리에 상주하는 WindowNetworkManager.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 WindowNetworkManager.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Window Network Manager" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Window Network Manager
  • C:\Program Files\Window Network Manager\cCommon.ocx
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cCommonControl.cCommon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F46059D-87B5-4EFA-9C3B-F64A099433FA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C9292A1-AB5F-41B8-83DB-4E29DC3781C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{88C1A548-8A38-4C72-BF91-2ABD73F374B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{79871E99-B2D6-4CD8-ABD9-5510339188F9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowNetworkManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Window Network Manager = C:\Program Files\Window Network Manager\WindowNetworkManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Window Network Manager Install
HKEY_LOCAL_MACHINE\SOFTWARE\WindowNetworkManager

 

해당 프로그램은 "Window Network Manager" 이름을 통해 광고 프로그램이 아닌 것처럼 등록되어 있으므로 사용자가 쉽게 찾기 어려우며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.