본문 바로가기
벌새::Analysis

검색 도우미 : WindowsTab

벌새 2013. 7. 4. 16:22
반응형

웹 브라우저 실행시 11번가 인터넷 쇼핑몰을 새 탭으로 추가 생성하는 검색 도우미 WindowsTab 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 377e944f97371b6ebd80ebdf697980b4)은 2013년 6월 10일경 보고되었으며, AhnLab V3 보안 제품에서는 PUP/Win32.WindowsTap (VT : 3/47) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : 윈도우즈탭(WindowsTab) (2012.4.12)

 

특히 해당 프로그램은 2012년 4월경 초기 버전이 발견되었으며, 2013년 4월경부터 변종 프로그램이 배포되고 있는 것으로 확인되고 있습니다.

프로그램 설치가 진행되는 과정에서 특정 서버로부터 WindowsTab 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)~1\AppData\Local\Temp\windowstab_ins.exe" 파일로 생성 및 실행되어 설치가 이루어지며, 해당 파일(MD5 : 2a7f914145c84ce9eb14e4411ea77fe6)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.WindowsTap (VT : 12/47) 진단명으로 진단되고 있습니다.

  • h**p://file.mu**.co.kr/app/windowstab/windowstab/windowstab_recom.exe (MD5 : 15dbda907f3fbeef31ffff4460fc0ce7) - AhnLab V3 : Win-PUP/Helper.WindowsTab.40536 (VT : 4/47)
  • h**p://file.mu**.co.kr/app/windowstab/windowstab/windowstab.exe :: 다운로드 불가
  • h**p://file.mu**.co.kr/app/windowstab/windowstab/windowstab_uc_up.exe :: 다운로드 불가

생성된 파일 중 업데이트 기능을 수행하는 windowstab_uc.exe 파일은 추가적으로 3개의 파일의 다운로드를 수행하여, "C:\Users\(사용자 계정)~1\AppData\Local\Temp\windowstab_recom.exe" 폴더에 파일을 생성합니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_ins.exe
C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_recom.exe
C:\Users\(사용자 계정)\AppData\Local\windowstab
C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_mon.exe :: 서비스(windowstab_mon) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_unins.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windowstab_uc.lnk

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_ins.exe
 - MD5 : 2a7f914145c84ce9eb14e4411ea77fe6
 - AhnLab V3 : PUP/Win32.WindowsTap (VT : 12/47)

 

C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_recom.exe
 - MD5 : 15dbda907f3fbeef31ffff4460fc0ce7
 - AhnLab V3 : Win-PUP/Helper.WindowsTab.40536 (VT : 4/47)

 

C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_mon.exe
 - MD5 : c09432d13abe2e8e310bdb0a4b254591
 - AhnLab V3 : PUP/Win32.WindowsTap (VT : 14/47)

 

C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe
 - MD5 : 3b9befa24de056db58ee6c2134d5970c
 - AhnLab V3 : PUP/Win32.WindowsTap (VT : 16/47)

 

C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab.exe
 - MD5 : 969da71264dc37cb454fd4f308604498
 - AhnLab V3 : PUP/Win32.WindowsTap (VT : 4/47)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\windowstab" 폴더에 파일을 생성하며, 다양한 방식으로 시스템 시작시 프로그램을 실행하도록 제작되어 있습니다.

 

1. windowstab_mon(Windows Tab Manager) 서비스 등록

WindowsTab 프로그램은 "windowstab_mon(Windows Tab Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_mon.exe" 파일을 자동 실행하도록 구성되어 있습니다.

  • h**p://file.mu**.co.kr/app/windowstab/windowstab/windowstab_uc.zip (= windowstab_uc.exe)

자동 실행된 서비스 파일(windowstab_mon.exe)은 특정 서버로부터 구성값을 체크하여 windowstab_uc.zip (= windowstab_uc.exe) 파일이 삭제된 경우 다운로드할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WINDOWSTAB_UC = "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe" /run

또한 프로그램 설치시에는 생성되지 않았던 모든 사용자 설정 시작 프로그램 등록 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) 항목에 WINDOWSTAB_UC 값을 추가 등록하여 Windows 시작시마다 반복적으로 등록하는 동작을 확인할 수 있습니다.

 

이는 사용자에 의해 시작 프로그램으로 등록된 시작 프로그램 관련 레지스트리 값 삭제를 방해할 목적이며, 이를 통해 시스템 시작시 자동으로 프로그램이 실행되도록 하기 위함입니다.

 

2. WINDOWSTAB_UC 시작 프로그램 등록

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WINDOWSTAB_UC = "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe" /run

WindowsTab 프로그램은 최초 설치시 기본적으로 현재 로그인 사용자 설정 시작 레지스트리 값(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run) 항목에 WINDOWSTAB_UC 값을 등록하여 Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe" /run ] 파일이 자동 실행되도록 구성되어 있습니다.

또한 프로그램의 시작 프로그램 폴더에 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windowstab_uc.lnk" 바로가기 링크를 추가하여, Windows 시작시 [C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe  /startup] 파일이 자동 실행되도록 구성되어 있습니다.

 

이를 통해 시스템 시작시마다 자동 실행된 windowstab_uc.exe 파일은 광고 구성값 및 업데이트 체크를 통해 windowstab_recom.exe, windowstab.exe, windowstab_uc_up.exe 3개의 파일을 다운로드 시도하며, "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab.exe" 파일을 로딩하여 메모리에 상주시킵니다.

 

3. WindowsTab 광고 기능

프로그램이 설치된 환경에서 웹 브라우저를 실행하면 기본적으로 사용자가 지정한 홈 페이지 이외에 WindowsTab 프로그램을 통해 11번가 인터넷 쇼핑몰이 새 탭으로 자동 생성되는 동작을 확인할 수 있습니다.

해당 11번가 인터넷 쇼핑몰에 접속하는 과정에서 특정 광고 서버를 경유하여 제휴 코드가 추가되는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 windowstab.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 windowstab.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

4. 프로그램 삭제 방법

프로그램 삭제는 제어판에 등록된 "WindowsTab Uninstall" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_ins.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\windowstab_recom.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WINDOWSTAB_UC = "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe" /run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WindowsTab2
HKEY_CURRENT_USER\Software\WindowsTab
HKEY_CURRENT_USER\Software\WindowsTab0
HKEY_CURRENT_USER\Software\WindowsTab1
HKEY_CURRENT_USER\Software\WindowsTab2
HKEY_CURRENT_USER\Software\WindowsTaba
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WINDOWSTAB_UC = "C:\Users\(사용자 계정)\AppData\Local\windowstab\windowstab_uc.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\WindowsTab2
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\windowstab_mon

 

WindowsTab 프로그램은 시스템 시작시 서비스, 시작 프로그램과 같은 다양한 등록값을 통해 자동 실행되도록 제작되어 있으며, 이를 통해 실행된 프로그램은 웹 브라우저 실행시마다 11번가 인터넷 쇼핑몰을 새 탭 방식으로 생성하여 수익 창출을 시도하므로 주의하시기 바랍니다.

728x90
반응형

티스토리툴바