본문 바로가기

벌새::Analysis

검색 도우미 : Window Network Manager

반응형

특정 웹 사이트 접속 또는 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Window Network Manager" 프로그램(MD5 : df4036e980b5ef616f4843cea3fc88de)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Advenced Top C Manager (2012.3.15)

 

  국내 악성코드 : Smart Connection tc services (2012.9.15)

 

  검색 도우미 : SocureWeb Control (2012.11.28)

 

  검색 도우미 : XocureWeb Control HiSearch (2012.12.2)

 

  검색 도우미 : Network Manager Win (2013.3.21)

 

해당 프로그램은 기존의 탑클릭(TopClick) 검색 도우미 계열과 연관성이 있으므로 참고하시기 바랍니다.

 

프로그램 설치 과정에서 배포 파일이 실행되면 임의의 폴더에 wnm.exe 파일(MD5 : d3c467cbfc2e9bc591c689d9a38dbd12)을 생성하여 프로그램을 설치한 후 자가 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Window Network Manager
C:\Program Files\Window Network Manager\cCommon.ocx
C:\Program Files\Window Network Manager\rule.rtf
C:\Program Files\Window Network Manager\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Window Network Manager\WindowNetworkManager.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Window Network Manager\WindowNetworkManagerUninstall.exe
C:\WINDOWS\system32\cCommon.ocx
C:\WINDOWS\system32\MSCMCKO.DLL
C:\WINDOWS\system32\MSCOMCTL.OCX
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\MSWINSCK.OCX
C:\WINDOWS\system32\VB6KO.DLL
C:\WINDOWS\system32\VB6STKIT.DLL
C:\WINDOWS\SysWOW64
C:\WINDOWS\SysWOW64\asycfilt.dll
C:\WINDOWS\SysWOW64\cCommon.ocx
C:\WINDOWS\SysWOW64\comcat.dll
C:\WINDOWS\SysWOW64\IPHLPAPI.DLL
C:\WINDOWS\SysWOW64\MSCMCKO.DLL
C:\WINDOWS\SysWOW64\MSCOMCTL.OCX
C:\WINDOWS\SysWOW64\MSINET.OCX
C:\WINDOWS\SysWOW64\msvbvm60.dll
C:\WINDOWS\SysWOW64\MSWINSCK.OCX
C:\WINDOWS\SysWOW64\oleacc.dll
C:\WINDOWS\SysWOW64\oleaut32.dll
C:\WINDOWS\SysWOW64\olepro32.dll
C:\WINDOWS\SysWOW64\psapi.dll
C:\WINDOWS\SysWOW64\stdole2.tlb
C:\WINDOWS\SysWOW64\urlmon.dll
C:\WINDOWS\SysWOW64\VB6KO.DLL
C:\WINDOWS\SysWOW64\VB6STKIT.DLL
C:\WINDOWS\SysWOW64\winhttp.dll
C:\WINDOWS\SysWOW64\wininet.dll

해당 프로그램은 "C:\Program Files\Window Network Manager" 폴더에 주요 파일을 생성하며, Windows 시작시 "C:\Program Files\Window Network Manager\WindowNetworkManager.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

이를 통해 자동 실행된 파일(WindowNetworkManager.exe)은 광고 구성값 체크를 통해 메모리에 상주합니다.

프로그램이 설치된 환경에서 사용자가 특정 웹 사이트에 접속할 경우 자동으로 추가적인 광고창이 생성되는 동작을 확인할 수 있으며, 인터넷 검색시에도 유사한 방식으로 제휴 코드(click.linkprice.com)가 추가된 광고창이 생성될 수 있습니다.

해당 광고 동작은 메모리에 상주하는 WindowNetworkManager.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 WindowNetworkManager.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Window Network Manager" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Window Network Manager
  • C:\Program Files\Window Network Manager\cCommon.ocx
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cCommonControl.cCommon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6F46059D-87B5-4EFA-9C3B-F64A099433FA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3C9292A1-AB5F-41B8-83DB-4E29DC3781C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{88C1A548-8A38-4C72-BF91-2ABD73F374B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{79871E99-B2D6-4CD8-ABD9-5510339188F9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowNetworkManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Window Network Manager = C:\Program Files\Window Network Manager\WindowNetworkManager.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Window Network Manager Install
HKEY_LOCAL_MACHINE\SOFTWARE\WindowNetworkManager

 

해당 프로그램은 "Window Network Manager" 이름을 통해 광고 프로그램이 아닌 것처럼 등록되어 있으므로 사용자가 쉽게 찾기 어려우며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • 웃지요 2013.06.16 19:59 댓글주소 수정/삭제 댓글쓰기

    지워도 재 생성되서 불편했는데 감사합니다!

  • 그사람 2013.07.16 18:14 댓글주소 수정/삭제 댓글쓰기

    고맙습니다.

  • 낙으네 2013.09.20 15:10 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다. 이름까지 교묘하게 바꿔서 쓰레기를 배포하는군요. 나쁜놈들...

    • 네~ 프로그램 삭제 기능은 넣어야하고 사용자들은 삭제하지 않았으면 하고.. 그러니 저딴 이름이 만들어진거겠죠.ㅠㅠ

  • 호롱이 2013.09.26 23:14 댓글주소 수정/삭제 댓글쓰기

    아 정말 포스팅이 도움이 많이 되었습니다. 감사합니다.
    이것저것 돌려봐도 모르겠고 결국은 프로그램 목록을 최근 날짜순으로 일일이 확인해보니 이상한 냄새를 폴폴풍기는 저놈이 웃고 있더라구요.ㅠㅠㅠㅠ
    의외로 저 이름덕택에(..) 애를 먹었네요.

  • 굿입니다 2013.10.09 17:54 댓글주소 수정/삭제 댓글쓰기

    감사합니다!!!요놈드디어 잡았네요

  • 7890 2013.10.14 15:47 댓글주소 수정/삭제 댓글쓰기

    저기 그 프로그램이 C::로 들어가서 삭제하려니 실행중이라고 안지워지고..
    제어판에는 아예 뜨지가 않는데 어떡하죠?ㅠ

    • Windows 작업 관리자를 실행하여 WindowNetworkManager.exe 프로세스를 종료한 후 삭제해 보시기 바랍니다.

      만약 그래도 안되면 안전 모드에서 삭제를 하시기 바랍니다.

  • 이바노 2014.01.01 11:32 댓글주소 수정/삭제 댓글쓰기

    희색안에 있는걸다삭데하면되는건가요?

  • farhen 2014.05.02 01:57 댓글주소 수정/삭제 댓글쓰기

    이런 거 만드는 놈 콩밥 못멕이나요?
    계속 광고창이 뜨는데 암만 검색해도 찾질 못해서 무지 짜증났었는데
    이름이 이 따구로...
    벌새님 덕분에 해결했네요. 감사합니다.

    • 그런 부분이 많이 아쉽죠. 실제로는 이런 프로그램이 설치되는 과정에서 사용자들이 알게 모르게 동의 과정을 거쳐서 설치되도록 제작되었기 때문에 처벌이 매우 어려운 것으로 알고 있습니다.

      뭐 이런 프로그램이 악의적인 기능을 수행해도 수사기관은 모르니..