본문 바로가기

벌새::Analysis

검색 도우미 : window unit pop

728x90
반응형

특정 인터넷 검색 서비스를 이용할 경우 백그라운드 방식으로 외부 검색을 통해 불필요한 검색 트래픽을 유발하는 검색 도우미 "window unit pop" 프로그램<SHA-1 : 8b1d79f7bc5677bdd861ef3f0b26b2b2e95f409f - avast! : Win32:Adware-AZE [Adw] (VT : 4/50)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\nsite.db
C:\Users\(사용자 계정)\AppData\Local\Temp\searchnqurl.dat
C:\Users\(사용자 계정)\AppData\Local\Temp\site.db
C:\Users\(사용자 계정)\AppData\Local\Temp\version.ini
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\HNa.dll
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\SetupUtil.dll
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\wup.dll

"OPEN.co., ltd" 디지털 서명이 포함된 "window unit pop" 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.exe" update] 파일(SHA-1 : c6f47a81eb6694899e32dea4153495e8a3f991c6)을 시작 프로그램으로 등록하여 광고 구성값 및 프로그램 업데이트를 체크합니다.

프로그램이 설치된 환경에서 사용자가 네이버(Naver)에서 검색 키워드 입력을 통해 검색을 시도할 경우 백그라운드 방식으로 해당 검색 키워드 값을 기반으로 특정 광고 서버에 전송을 합니다.

 

전송된 정보는 네이트(search.daum.net/nate) 검색 쿼리로 전송하며, 이를 바탕으로 랜덤(Random)한 특정 검색어를 기반으로 검색이 이루어진 것으로 처리됩니다.

 

위와 같은 방식은 네이트(NATE) 검색 쿼리 증가를 위한 광고 정책으로 추정되며 사용자 입장에서는 네이버(Naver) 검색시 자신도 모르게 네이트(NATE) 검색이 이루어짐에 따라 불필요한 트래픽 유발이 발생할 수 있습니다.

또 다른 사례로 사용자가 티켓몬스터(TMON)에서 검색을 시도할 경우 특정 광고 서버에 검색 키워드 값을 전송하여 외부 검색 서비스를 통해 다음(Daum)에서 제공하는 정보를 불러오는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : windowunitpop Helper Object

게시자 : OPEN.co., ltd

유형 : 브라우저 도우미 개체

CLSID : {002D3470-BCE8-1A8E-8B2F-888576341613}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.dll

 

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.dll" 파일(SHA-1 : 32266c8460cd32c78c4f807de1ae94af8234c2b2)을 Internet Explorer 웹 브라우저의 추가 기능 관리에 "windowunitpop Helper Object" 브라우저 도우미 개체(BHO) 항목으로 등록하여 사용자가 접속하는 웹 사이트, 검색 키워드 값을 감시하도록 되어 있습니다.

 

그러므로 해당 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "windowunitpop Helper Object" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 Windows 작업 관리자를 실행하여 메모리에 상주하여 외부 검색 서비스로 연결을 시도하는 windowunitpop.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "window unit pop" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - windowunitpop = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windowunitpop = "C:\Users\(사용자 계정)\AppData\Roaming\windowunitpop\windowunitpop.exe" update
HKEY_CURRENT_USER\Software\windowunitpop
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{002D3470-BCE8-1A8E-8B2F-888576341613}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windowunitpop.windowunitpop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{002D3470-BCE8-1A8E-8B2F-888576341613}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

"window unit pop" 검색 도우미 프로그램은 인터넷 검색시 화면상으로는 표시되지 않는 외부 검색 서비스로 연결하는 동작으로 인해 불필요한 트래픽 유발을 시도하며, 차후 광고창 생성 동작도 이루어질 수 있으므로 주의하시기 바랍니다.

 

 

728x90
반응형