울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Live Social Shopping Feeds Product

벌새::Analysis

바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성하는 검색 도우미 "Windows Live Social Shopping Feeds Product" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3bb9683c7f53c22b39301e233af537b7)에 대하여 AVG 보안 제품에서는 Downloader.Generic_r.PH (VT : 11/45) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Live
C:\Program Files\Windows Live\SocialFeeds
C:\Program Files\Windows Live\SocialFeeds\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Live\SocialFeeds\wnsfds.dll :: BHO 등록 파일
C:\Program Files\Windows Live\SocialFeeds\wnsfdsUp.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\Desktop\11번가.url
C:\Users\(사용자 계정)\Desktop\옥션.url
C:\Users\(사용자 계정)\Desktop\G마켓.url
C:\Windows\11번가.ico
C:\Windows\옥션.ico
C:\Windows\G마켓.ico

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Live\SocialFeeds\wnsfds.dll
 - MD5 : f3986260cd0821fdc1dd421741a6c682
 - AhnLab V3 : Win-PUP/Shortcut.WinSh.114688 (VT : 2/46)

 

C:\Program Files\Windows Live\SocialFeeds\wnsfdsUp.exe
 - MD5 : 32bb1237161c87fe3483e3b0d58cbe0b
 - AhnLab V3 : Win-PUP/Shortcut.WinSh.139264 (VT : 11/46)

"Windows Live Social Shopping Feeds Product" 프로그램은 마이크로소프트(Microsoft) 업체에서 제공하는 "Windows 필수 패키지" 프로그램이 사용하는 "C:\Program Files\Windows Live" 폴더 내에 "C:\Program Files\Windows Live\SocialFeeds" 폴더를 생성하여 파일을 생성합니다.

 

이는 마치 마이크로소프트(Microsoft) 관련 프로그램처럼 사용자 눈을 속일 목적으로 보이며, 기존에 "Windows Wiznet Navigation Security" 프로그램과 유사성이 강한 것으로 추정됩니다.

 

프로그램은 Windows 시작시 "C:\Program Files\Windows Live\SocialFeeds\wnsfdsUp.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 바탕 화면 바로가기 아이콘 등록값을 체크한 후 자동 종료 처리됩니다.

프로그램이 설치된 환경에서는 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 등록하며, 해당 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속할 경우 특정 제휴 코드(cl.ilikeclick.com)가 추가되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Windows Live Social Shopping Feeds Product

게시자 : ACE Corp.

유형 : 브라우저 도우미 개체

CLSID : {E1018C56-3D48-48FC-8DA5-3CAF661F1261}

파일 : C:\Program Files\Windows Live\SocialFeeds\wnsfds.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\Windows Live\SocialFeeds\wnsfds.dll" 파일을 브라우저 도우미 개체(BHO)로 등록하여 iexplore.exe 프로세스에 인젝션(Injection) 되어 동작할 수 있습니다.

프로그램 설치 완료 후 최초 Internet Explorer 웹 브라우저를 실행할 경우 특정 광고 서버에서 암호화된 구성값 및 설치 관련 카운터(Counter) 정보를 체크하는 부분을 발견할 수 있습니다.

이러한 기능을 수행하는 wnsfds.dll 파일을 확인해보면 기존의 "Windows Wiznet Navigation Security" 프로그램과 유사한 부분이 확인되며, 해당 파일은 광고 기능 수행보다는 특정 조건에서 암호화된 특정 사이트와 관련된 추가적인 다운로드 기능이 포함되어 있는 것으로 추정됩니다.

 

그러므로 해당 동작의 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Live Social Shopping Feeds Product" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows Live Social Shopping Feeds Product" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\Desktop\11번가.url
  • C:\Users\(사용자 계정)\Desktop\옥션.url
  • C:\Users\(사용자 계정)\Desktop\G마켓.url
  • C:\Windows\11번가.ico
  • C:\Windows\옥션.ico
  • C:\Windows\G마켓.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\winshop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1018C56-3D48-48fc-8DA5-3CAF661F1261}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{15F81F43-5DB9-41B8-8D6B-E826AB34D4F2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8F2240DC-2257-4AA0-83CD-633BFB179354}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wnsfds.wnsfdsObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wnsfds.wnsfdsObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E1018C56-3D48-48fc-8DA5-3CAF661F1261}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - winshop = "C:\Program Files\Windows Live\SocialFeeds\wnsfdsUp.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ACE Corp

 

해당 프로그램은 마이크로소프트(Microsoft) 관련 프로그램이 사용하는 폴더 내에 프로그램을 설치하여 사용자에게 혼동을 유발하며, 프로그램 삭제 이후에도 인터넷 쇼핑몰 바로가기 아이콘을 그대로 유지하여 지속적인 수익 활동을 하므로 주의하시기 바랍니다.