울지않는벌새 : Security, Movie & Society

"Window Boan Patch v1.1" 보안 패치 프로그램에 추가된 광고 기능 주의 (2013.11.14)

벌새::Analysis

Windows 보안 업데이트 기능 제공하는 프로그램이 설치된 경우 필수적으로 추가된 광고 기능을 이용하여 웹 브라우저 상단에 광고바를 생성하는 "Window Boan Patch v1.1" 프로그램<MD5 : 37436a9f832a0fab8f68e90f5b3d55cb - Kaspersky : Trojan-Downloader.Win32.Genome.fewg (VT : 15/47)>에 대해 살펴보도록 하겠습니다.

 

  다운로드 도우미 : 파일겟(FileGet) 1.0.0.3 (2013.8.13)

 

  다운로드 도우미 : FileDown 1.0.0.2 (2013.10.3)

 

"Window Boan Patch v1.1" 프로그램의 주요 배포 방식은 기존에 소개한 파일 다운로더 프로그램의 제휴 프로그램을 통해 설치가 이루어질 수 있으므로 참고하시기 바랍니다.

위와 같은 배포 방식을 통해 설치가 진행되면 특정 서버로부터 "윈도우 보안 패치(Window Boan Patch)" 설치 파일MD5 : c5847bc53135265b49a2f5f55a6de441)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowBoanPatchSetup.exe" 파일로 저장된 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WindowBoanPatch
C:\Program Files\WindowBoanPatch\category.dat
C:\Program Files\WindowBoanPatch\domainmatch.dat
C:\Program Files\WindowBoanPatch\except.dat
C:\Program Files\WindowBoanPatch\lastdomain.dat
C:\Program Files\WindowBoanPatch\mainsite.dat
C:\Program Files\WindowBoanPatch\OfficeUp.dll
C:\Program Files\WindowBoanPatch\OfficeUp.wud
C:\Program Files\WindowBoanPatch\Patch.wud
C:\Program Files\WindowBoanPatch\PatchHelper.dll :: BHO 등록 파일
C:\Program Files\WindowBoanPatch\PatchHelper.ini
C:\Program Files\WindowBoanPatch\SecUp.dll
C:\Program Files\WindowBoanPatch\sitedepth1.dat
C:\Program Files\WindowBoanPatch\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\WindowBoanPatch\Update
C:\Program Files\WindowBoanPatch\Update\OfficeUp.wud
C:\Program Files\WindowBoanPatch\Update\Patch.wud
C:\Program Files\WindowBoanPatch\Update\WBPatch.exe
C:\Program Files\WindowBoanPatch\Update\WBPatchopen.exe
C:\Program Files\WindowBoanPatch\Update\WBPatchUpdate.exe
C:\Program Files\WindowBoanPatch\Update\WBPatchVersion.ini
C:\Program Files\WindowBoanPatch\WBPatch.exe :: Window Boan Patch 프로그램 실행 파일
C:\Program Files\WindowBoanPatch\WBPatch.ini
C:\Program Files\WindowBoanPatch\WBPatchCntr.exe :: 서비스(WindowBoanPatch OEM Monitoring Center) 등록 파일, 메모리 상주 프로세스
C:\Program Files\WindowBoanPatch\WBPatchMainMgr.exe :: 시작 프로그램 등록 파일
C:\Program Files\WindowBoanPatch\WBPatchopen.exe :: 메모리 상주 프로세스
C:\Program Files\WindowBoanPatch\WBPatchUp.exe
C:\Program Files\WindowBoanPatch\WBPatchUpdate.exe
C:\Program Files\WindowBoanPatch\WBPatchVersion.ini
C:\Program Files\WindowBoanPatch\WBPCount.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindowBoanPatch
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WindowBoanPatch\WindowBoanPatch.lnk
C:\Users\(사용자 계정)\AppData\Local\Temp\WBPTime.ini
C:\Users\(사용자 계정)\AppData\Local\Temp\WindowBoanPatchSetup.exe
C:\Windows\Temp\WBPTime.ini

해당 프로그램은 "C:\Program Files\WindowBoanPatch" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 통해 프로그램을 실행합니다.

"WindowBoanPatch OEM Monitoring Center" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\WindowBoanPatch\WBPatchCntr.exe" 파일을 자동 실행하며, 실행된 서비스 파일(WBPatchCntr.exe)은 1분이 경과하는 시점에서 다음과 같은 2개의 파일을 실행하여 프로그램 업데이트를 체크합니다.

  • C:\Program Files\WindowBoanPatch\WBPatchUp.exe
  • C:\Program Files\WindowBoanPatch\WBPatchUpdate.exe

이를 통해 "C:\Program Files\WindowBoanPatch\Update" 폴더에 업데이트 관련 파일을 추가 다운로드할 수 있습니다.

 

또한 ["C:\Program Files\WindowBoanPatch\WBPatchMainMgr.exe" /startup] 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행 및 자동 종료 처리되도록 등록되어 있습니다.

이를 통해 윈도우 보안 패치(Window Boan Patch) 프로그램(WBPatch.exe)을 실행하여, 사용자는 외형적으로 보안 패치 체크 등의 기능을 이용할 수 있습니다.

 

하지만 윈도우 보안 패치(Window Boan Patch) 프로그램의 이용약관에서는 프로그램 설치시 필수적으로 설치되는 부가 서비스 기능을 통해 광고가 노출될 수 있다고 안내하고 있으며, 대부분의 사용자들은 설치시 위와 같은 부분에 대해 제대로 인지하지 못할 수 있기에 자세하게 살펴보도록 하겠습니다.

시스템 시작시 자동 실행된 서비스 파일(WBPatchCntr.exe)은 3분이 경과하는 시점에서 "C:\Program Files\WindowBoanPatch\WBPatchopen.exe" 파일을 로딩하여 광고 구성값을 체크합니다.

이 과정에서 WBPatchopen.exe 프로세스는 특정 제휴 코드(cl.ncclick.co.kr)가 추가된 광고 사이트를 Internet Explorer 웹 브라우저를 통해 자동으로 오픈하는 동작을 확인할 수 있습니다.

또한 "윈도우 보안 패치(Window Boan Patch)" 프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 이용하여 웹 브라우저 상단에 광고바를 생성하는 기능을 수행합니다.

이를 통해 일정 시간이 경과하면 그림과 같이 사용자가 인터넷 검색시 사용한 일부 검색 키워드 값이 광고바에 노출되는 현상을 확인할 수 있으며, 해당 광고바는 주요 포털 사이트 검색 페이지에서는 노출되지 않도록 제작되어 있습니다.

또 다른 광고 동작으로는 사용자가 Internet Explorer 웹 브라우저의 "새 탭"을 오픈할 경우 웹 브라우저에서 지정한 기본 페이지로 연결되는 과정에서 자동으로 제휴 코드(cl.ncclick.co.kr)가 추가된 광고 페이지로 이동되는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : PatchHelper

게시자 : Everyzone Inc.

유형 : 브라우저 도우미 개체

CLSID : {33B2561D-446A-4716-A6AD-382CA6BCC2B5}

파일 : C:\Program Files\WindowBoanPatch\PatchHelper.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "PatchHelper" 브라우저 도우미 개체(BHO) 항목을 등록하여 검색 키워드 값 감시를 통해 광고바 및 새 탭 광고 연결이 이루어지도록 하고 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "PatchHelper" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

 

(1) "보조 프로그램 → 명령 프롬프트" 메뉴를 선택하여 마우스 우클릭을 통해 "관리자 권한으로 실행"한 후, 생성된 명령 프롬프트 창에 [sc stop "WindowBoanPatch OEM Monitoring Center"] 명령어를 입력하여 WBPatchCntr.exe 서비스 프로세스를 자동으로 종료하시기 바랍니다.

(2) Windows 작업 관리자를 실행하여 "프로세스" 탭의 "모든 사용자의 프로세스 표시" 버튼을 클릭한 후 WBPatch.exe, WBPatchopen.exe 프로세스를 찾아 종료하시기 바랍니다.

 

만약 그냥 프로세스를 종료시에는 "프로세스를 종료할 수 없습니다." 창이 생성되므로 반드시 관리자 권한으로 종료를 하시기 바랍니다.

 

(3) 제어판에 등록된 "Window Boan Patch v1.1" 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowBoanPatchSetup.exe" 파일을 찾아 직접 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowBoanPatch = "C:\Program Files\WindowBoanPatch\WBPatchMainMgr.exe" /startup
HKEY_CURRENT_USER\Software\WindowBoanPatch
HKEY_CURRENT_USER\Software\로컬 응용 프로그램 마법사에서 생성된 응용 프로그램\Window Boan Patch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{33B2561D-446A-4716-A6AD-382CA6BCC2B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{33B2561D-446A-4716-A6AD-382CA6BCC2B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WindowBoanPatch = "C:\Program Files\WindowBoanPatch\WBPatchMainMgr.exe" /startup
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WindowBoanPatch
HKEY_LOCAL_MACHINE\SOFTWARE\WindowBoanPatch
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WindowBoanPatch OEM Monitoring Center

 

"Window Boan Patch v1.1" 프로그램은 보안을 위하여 좋은 프로그램은 맞지만 사용자가 다수의 제휴 프로그램들과 함께 설치되는 과정에서 각 프로그램의 이용약관을 거의 보지 않는다는 점에서 필수적으로 설치되는 광고 기능으로 인하여 인터넷 이용시 불편을 유발하므로 주의하시기 바랍니다.

또한 Windows 운영 체제에서는 기본적으로 Windows Update 기능을 자동 업데이트할 수 있도록 지원하고 있으므로 외부 프로그램을 통해 설치할 필요까지는 없다는 점도 명심하시기 바랍니다.