울지않는벌새 : Security, Movie & Society

검색 도우미 : INIWeblink - weblink

벌새::Analysis

인터넷 검색 및 웹 사이트 접속시 광고창을 자동으로 생성하는 검색 도우미 INIWeblink 프로그램<MD5 : ea4baad102cd7d45fca8c1056ba750c1 - AhnLab V3 : PUP/Win32.WebLink (VT : 28/47)>에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : INIWebLink (2013.3.28)

 

해당 프로그램은 기존의 "INIWebLink[숫자] uninstall" 검색 도우미 프로그램의 변종으로 확인되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\weblink
C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkie.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\weblink\weblkun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\weblink\wl.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkie.exe
 - MD5 : 87d4b6d5895d5bea2e0d3807c0c050ee
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.jk (VT : 27/48)

 

C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe
 - MD5 : 246948fd9b0d65be83f1ef1a11f4935f
 - nProtect : Trojan-Downloader/W32.Agent.237152 (VT : 27/48)

 

C:\Users\(사용자 계정)\AppData\Local\weblink\weblkun.exe
 - MD5 : 087e7d57b0ee7eb47aabb6f5a7680f79
 - AhnLab V3 : PUP/Win32.WebLink (VT : 30/48)

 

C:\Users\(사용자 계정)\AppData\Local\weblink\wl.dll
 - MD5 : d474d4f2e90020bbb717d55e589f708c
 - BitDefender : Gen:Variant.Symmi.36013 (VT : 14/48)

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\weblink" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 파일(weblinkup.exe)은 1분이 경과하면 "C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkie.exe" 파일을 로딩하여 프로그램 업데이트 및 광고 구성값 체크를 수행하여 메모리에 상주합니다.

이 과정에서 weblinkie.exe 파일의 리소스에 포함된 PE 파일을 "C:\Users\(사용자 계정)\AppData\Local\weblink\wl.dll" 파일로 매번 생성합니다.

프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 하는 과정 또는 웹 사이트에 접속하는 과정에서 자동으로 다양한 광고창을 다수 생성할 수 있습니다.

또한 네이버(Naver) 검색 엔진을 통해 인터넷 검색을 하는 과정에서 검색 키워드 값을 이용하여 자동으로 네이트 검색(search.nate.com) 결과창을 오픈하는 가로채기 동작도 이루어질 수 있습니다.

해당 광고 동작은 메모리에 상주하는 weblinkie.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 weblinkie.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "INIWeblink" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iniweblink = C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
INIWebLink uninstall
HKEY_CURRENT_USER\Software\weblink

 

INIWeblink 프로그램은 인터넷 이용시 원치않는 다수의 광고창이 함께 생성되어 불편을 유발하므로 주의하시기 바랍니다.