울지않는벌새 : Security, Movie & Society

검색 도우미 : Wiseman + Mw for updater

벌새::Analysis

인터넷 검색시 광고창 생성 및 바로가기 아이콘 생성 기능을 가진 검색 도우미 Wiseman 프로그램과 함께 설치되는 "Mw for updater" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(SHA-1 : a851acb8ce9a0f363a56d58e9f5945f875405388)에 대하여 AVG 보안 제품에서는 Generic5.AJSV (VT : 14/48) 진단명으로 진단되고 있습니다.

 

  Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

 

참고로 기존에 살펴본 SSI 검색 도우미 프로그램 설치시 함께 설치되는 "windows for smart install" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

배포용 파일을 통해 설치가 진행되면 "C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe" 파일 생성 및 실행을 통해 "Wiseman + Mw for updater" 2개의 프로그램이 자동으로 설치됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Apps\wmforupdater_u.exe :: "Mw for updater" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\wms
C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe
C:\Users\(사용자 계정)\AppData\Local\Wiseman
C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.exe :: Wiseman 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe :: 시작 프로그램(Wiseman) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe :: 시작 프로그램(WisemanUpdate) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe :: 시작 프로그램(mwfor) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe
 - SHA-1 : b97aef402dbaa5b0b1c65aa8a5fdd7096f2eaa81
 - Avira : Adware/Symmi.31567.3 (VT : 15/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.exe
 - SHA-1 : 37a6aaec918b234de7ae7fe92683ed78506b2acc
 - nProtect : Adware/W32.Agent1.1185443 (VT : 1/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe
 - SHA-1 : 2127ca5f02f68a572eb0bf16969d6fc3119ee1d6
 - BitDefender : Gen:Variant.Adware.Symmi.31567 (VT : 16/48)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe
 - SHA-1 : 408a5cb2c497b17ee69f8de81ab4fb7fc573adf1
 - AhnLab V3 : PUP/Win32.ShortCut (VT : 15/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe
 - SHA-1 : 1ba91ba5ec7dd8bddf873d9fa5f29cc71e813083
 - ESET : a variant of Win32/AdWare.Kraddare.JP (VT : 4/49)

 

C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
 - SHA-1 : 382922b863e207e1d55dc490b6f14e6fc1200695
 - Avira : Adware/Symmi.31567.5 (VT : 15/49)

Wiseman 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\Wiseman" 폴더에 파일을 생성하며, Windows 시작시 다음의 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

  • Wiseman = C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe /byboot
  • WisemanUpdate = C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe

자동 실행된 WisemanUpdate.exe 파일은 특정 서버에서 프로그램 업데이트 체크 및 Wiseman.exe 파일 로딩 기능을 수행하며, 로딩 및 시작 프로그램으로 자동 실행된 Wiseman.exe 파일은 광고 구성값 체크 및 "C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe" 파일을 추가 로딩하여 메모리에 상주시킵니다.

"Korea Contents Network" 디지털 서명이 포함된 Wiseman 검색 도우미와 함께 자동 설치되는 "Mw for updater" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe" 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.

동 실행된 wmforupdater.exe 파일은 특정 서버에서 다음의 2가지 파일을 체크하여 특정 조건을 만족할 경우 "wm for updater" 창 생성을 통해 Wiseman 검색 도우미를 비롯한 제휴 프로그램의 설치를 유도할 수 있습니다.

  • %PROGRAMFILES/Wiseman/WisemanUpdate.exe
  • %PROGRAMFILES/Wiseman/Wiseman.exe

이를 통해 Wiseman 프로그램이 삭제된 경우 업데이트 창 생성을 통해 재설치 할 목적으로 등록된 프로그램으로 보이며, 다운로드 가능한 Wiseman 설치 파일(SHA-1 : bb40783111c94f507f0738137619f82e9e404f3c)에 대하여 Avira 보안 제품에서는 Adware/Symmi.31567.4 (VT : 12/49) 진단명으로 진단되고 있습니다.

Wiseman 프로그램이 설치된 환경에서 사용자가 인터넷 검색시 자동으로 광고창을 전체 화면 크기로 생성할 수 있으며, 그 외 바로가기 아이콘을 추가할 수 있는 것으로 보입니다.

Wiseman 검색 도우미 프로그램을 통한 광고 동작은 메모리에 상주하는 Wiseman.exe, WisemanUpdate.exe, wmsn.exe 3개의 프로세스를 통해 구현이 되며, 사용자에 의한 프로세스 종료를 방해할 목적으로 프로세스 보호 기능이 포함되어 있습니다.

만약 사용자가 WisemanUpdate.exe 프로세스를 먼저 종료하지 않은 상태에서 Wiseman.exe 또는 wmsn.exe 프로세스를 종료할 경우 자동으로 종료된 프로세스가 재실행되도록 보호 기능을 수행합니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 "① WisemanUpdate.exe → ② Wiseman.exe, wmsn.exe" 프로세스 순서로 종료를 하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Mw for updater", "Wiseman" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Apps\wmforupdater_u.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\wms
  • C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe

또한 레지스트리 편집기(regedit)를 실행하여 "Mw for updater" 프로그램이 등록한 시작 프로그램 등록값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - mwfor = C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - mwfor = C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
 - Wiseman = C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe /byboot
 - WisemanUpdate = C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
{62532CAC-00AE-4072-B1F8-1FBC90B0C52B}_is1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
wmforupdater
HKEY_CURRENT_USER\Software\Microsoft\WisemanSupport
HKEY_CURRENT_USER\Software\Microsoft\wmforupdater

 

Wiseman 프로그램은 사용자가 프로그램을 삭제한 후에도 "Mw for updater" 프로그램은 통해 생성된 업데이트 창을 통해 재설치를 유도할 수 있으므로 주의하시기 바랍니다.