본문 바로가기

벌새::Analysis

검색 도우미 : Wiseman + Mw for updater

반응형

인터넷 검색시 광고창 생성 및 바로가기 아이콘 생성 기능을 가진 검색 도우미 Wiseman 프로그램과 함께 설치되는 "Mw for updater" 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 배포용 파일(SHA-1 : a851acb8ce9a0f363a56d58e9f5945f875405388)에 대하여 AVG 보안 제품에서는 Generic5.AJSV (VT : 14/48) 진단명으로 진단되고 있습니다.

 

  Window for smart update 기능을 몰래 등록하는 SSI 프로그램 주의 (2014.1.5)

 

참고로 기존에 살펴본 SSI 검색 도우미 프로그램 설치시 함께 설치되는 "windows for smart install" 프로그램과 유사성이 강하므로 참고하시기 바랍니다.

 

배포용 파일을 통해 설치가 진행되면 "C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe" 파일 생성 및 실행을 통해 "Wiseman + Mw for updater" 2개의 프로그램이 자동으로 설치됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Apps\wmforupdater_u.exe :: "Mw for updater" 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\wms
C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe
C:\Users\(사용자 계정)\AppData\Local\Wiseman
C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.dat
C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.exe :: Wiseman 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe :: 시작 프로그램(Wiseman) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe :: 시작 프로그램(WisemanUpdate) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe :: 시작 프로그램(mwfor) 등록 파일

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe
 - SHA-1 : b97aef402dbaa5b0b1c65aa8a5fdd7096f2eaa81
 - Avira : Adware/Symmi.31567.3 (VT : 15/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\unins000.exe
 - SHA-1 : 37a6aaec918b234de7ae7fe92683ed78506b2acc
 - nProtect : Adware/W32.Agent1.1185443 (VT : 1/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe
 - SHA-1 : 2127ca5f02f68a572eb0bf16969d6fc3119ee1d6
 - BitDefender : Gen:Variant.Adware.Symmi.31567 (VT : 16/48)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe
 - SHA-1 : 408a5cb2c497b17ee69f8de81ab4fb7fc573adf1
 - AhnLab V3 : PUP/Win32.ShortCut (VT : 15/49)

 

C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe
 - SHA-1 : 1ba91ba5ec7dd8bddf873d9fa5f29cc71e813083
 - ESET : a variant of Win32/AdWare.Kraddare.JP (VT : 4/49)

 

C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
 - SHA-1 : 382922b863e207e1d55dc490b6f14e6fc1200695
 - Avira : Adware/Symmi.31567.5 (VT : 15/49)

Wiseman 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\Wiseman" 폴더에 파일을 생성하며, Windows 시작시 다음의 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

  • Wiseman = C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe /byboot
  • WisemanUpdate = C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe

자동 실행된 WisemanUpdate.exe 파일은 특정 서버에서 프로그램 업데이트 체크 및 Wiseman.exe 파일 로딩 기능을 수행하며, 로딩 및 시작 프로그램으로 자동 실행된 Wiseman.exe 파일은 광고 구성값 체크 및 "C:\Users\(사용자 계정)\AppData\Local\Wiseman\wmsn.exe" 파일을 추가 로딩하여 메모리에 상주시킵니다.

"Korea Contents Network" 디지털 서명이 포함된 Wiseman 검색 도우미와 함께 자동 설치되는 "Mw for updater" 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe" 파일을 시작 프로그램으로 등록하여 Windows 시작시 자동 실행되도록 구성되어 있습니다.

동 실행된 wmforupdater.exe 파일은 특정 서버에서 다음의 2가지 파일을 체크하여 특정 조건을 만족할 경우 "wm for updater" 창 생성을 통해 Wiseman 검색 도우미를 비롯한 제휴 프로그램의 설치를 유도할 수 있습니다.

 

  • %PROGRAMFILES/Wiseman/WisemanUpdate.exe
  • %PROGRAMFILES/Wiseman/Wiseman.exe

이를 통해 Wiseman 프로그램이 삭제된 경우 업데이트 창 생성을 통해 재설치 할 목적으로 등록된 프로그램으로 보이며, 다운로드 가능한 Wiseman 설치 파일(SHA-1 : bb40783111c94f507f0738137619f82e9e404f3c)에 대하여 Avira 보안 제품에서는 Adware/Symmi.31567.4 (VT : 12/49) 진단명으로 진단되고 있습니다.

Wiseman 프로그램이 설치된 환경에서 사용자가 인터넷 검색시 자동으로 광고창을 전체 화면 크기로 생성할 수 있으며, 그 외 바로가기 아이콘을 추가할 수 있는 것으로 보입니다.

Wiseman 검색 도우미 프로그램을 통한 광고 동작은 메모리에 상주하는 Wiseman.exe, WisemanUpdate.exe, wmsn.exe 3개의 프로세스를 통해 구현이 되며, 사용자에 의한 프로세스 종료를 방해할 목적으로 프로세스 보호 기능이 포함되어 있습니다.

만약 사용자가 WisemanUpdate.exe 프로세스를 먼저 종료하지 않은 상태에서 Wiseman.exe 또는 wmsn.exe 프로세스를 종료할 경우 자동으로 종료된 프로세스가 재실행되도록 보호 기능을 수행합니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 "① WisemanUpdate.exe → ② Wiseman.exe, wmsn.exe" 프로세스 순서로 종료를 하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Mw for updater", "Wiseman" 2개의 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

 

  • C:\Users\(사용자 계정)\AppData\Local\Apps\wmforupdater_u.exe
  • C:\Users\(사용자 계정)\AppData\Local\Temp\wms
  • C:\Users\(사용자 계정)\AppData\Local\Temp\wms\wmsinstall.exe

또한 레지스트리 편집기(regedit)를 실행하여 "Mw for updater" 프로그램이 등록한 시작 프로그램 등록값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - mwfor = C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - mwfor = C:\Users\(사용자 계정)\AppData\Roaming\wmforupdater.exe
 - Wiseman = C:\Users\(사용자 계정)\AppData\Local\Wiseman\Wiseman.exe /byboot
 - WisemanUpdate = C:\Users\(사용자 계정)\AppData\Local\Wiseman\WisemanUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\{62532CAC-00AE-4072-B1F8-1FBC90B0C52B}_is1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\wmforupdater
HKEY_CURRENT_USER\Software\Microsoft\WisemanSupport
HKEY_CURRENT_USER\Software\Microsoft\wmforupdater

 

Wiseman 프로그램은 사용자가 프로그램을 삭제한 후에도 "Mw for updater" 프로그램은 통해 생성된 업데이트 창을 통해 재설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

 
728x90
반응형
  • 익명 2014.04.25 11:05 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

    • 현재 알고 있기로는 프로그램 이름은 Windows for smart update이지만 파일명은 지속적으로 변경되고 있는 것으로 알고 있습니다.

      그러므로 http://hummingbird.tistory.com/5143 게시글에서 언급한 windowforsmartinstall.exe 파일이 위치한 폴더를 다시 확인하여 유사 파일을 찾아 제거하시기 바라며, 분명하게 확인하는 방법은 시작 프로그램 레지스트리(Run) 값에서 찾아 보셔야 할 것 같습니다.

      그 외에 http://hummingbird.tistory.com/notice/4859 게시글을 통해 문의를 해주시면 답변해 드리도록 하겠습니다. 감사합니다.

  • 익명 2015.04.11 13:24 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 익명 2015.04.11 13:36 댓글주소 수정/삭제 댓글쓰기

    비밀댓글입니다

  • 서귀포 2015.05.02 14:34 댓글주소 수정/삭제 댓글쓰기

    wmsn.exe가 지워지지 않는데 어떻게 해야 할까요?
    삭제를 클릭하면 실행중이여서 삭제를 못한다는 창이 뜨네요.
    인터넷 창을 다 끈 상탠데도...

  • 아티윙 2015.05.13 11:05 댓글주소 수정/삭제 댓글쓰기

    게시글을 보면서 문제가 됐던부분을 상당수 해결을 했습니다.

    현재는 광고창이나 이런것들이 뜨고있지는 않은데 제어판->프로그램삭제에 들어가보면

    mw for update가 그대로 남아있습니다. 물론 삭제도 안돼구요.

    삭제를 시켜보려고 해봤지만 아무런 반응이 없습니다. 메세지 창이나 그 어떤 반응도

    없네요...^^;;

    mw for update가 다른 프로그램들을 재설치를 유도하는 프로그램이라고 하셔서

    꼭 삭제하고 싶은데 방법을 모르겠습니다.

    도와주시면 감사하겠습니다.

    다른 게시글에서 알려주신데로 런스캔 해놓은 파일이 있는데

    이경우에도 보내드리면 도움이 될까요?

  • 2015.07.31 18:43 댓글주소 수정/삭제 댓글쓰기

    정말 도움 많이 됐습니다!
    감사해요.

  • as04007 2015.08.06 11:25 댓글주소 수정/삭제 댓글쓰기

    http://kin.naver.com/qna/detail.nhn?d1id=1&dirId=11002&docId=231322139

    제 질문인데 wiseman이 관련되어 있는 것 같아서요
    답변 해주실 수 있으신가요?

  • 제어판에 없어요 2015.08.12 23:12 댓글주소 수정/삭제 댓글쓰기

    혹시 이 프로그램이 제어판에서 발견되지 않을 수 있나요?
    전 아무리 찾아봐도 없거든요...
    (원래 있는지도 몰랐는데 어쩌다가 네이버 백신을 통해 시작프로그램에 "mwfor" 가 보여서 말이죠...)

  • 이거 맞죠? 2015.08.12 23:16 댓글주소 수정/삭제 댓글쓰기

    "wmforupdater_u" 이거를 그냥 삭제하면 되나요?
    (귀찮게 해서 죄송...)

  • 폴더도요? 2015.08.12 23:19 댓글주소 수정/삭제 댓글쓰기

    "Apps" <- 이거요?

    (다시 한번 죄송 ㅠㅠ)

  • 감사해요(친절함에 감동...) 2015.08.12 23:24 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다 ㅠㅠ
    (공감 하나 누르고 가요 ㅎㅎ)

  • sara 2015.10.21 21:14 댓글주소 수정/삭제 댓글쓰기

    퍼갈게여