울지않는벌새 : Security, Movie & Society

광고 기능이 포함된 유해 사이트 차단 프로그램 "Windows WebCare" 주의 (2014.2.17)

벌새::Analysis

유해 사이트 차단 기능을 제공하는 웹케어(WebCare) 프로그램을 배포하면서 설치시 필수적으로 포함된 광고 기능을 이용하여 인터넷 이용시 원치않는 다양한 광고창이 생성될 수 있는 "Windows WebCare" 프로그램에 대해 살펴보도록 하겠습니다.

제휴 프로그램의 배포 파일<SHA-1 : 62d65f73ae8cd1c9f8bb1a299a736554daa2435d - nProtect : Adware/W32.Agent.421328.D (VT : 10/50)>을 통해 설치가 진행되면 특정 서버로부터 웹케어(WebCare) 설치 파일<SHA-1 : 5142b380e8e24afca3feec44867eb7e01e43a73c - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 13/49)>을 다운로드하여 "C:\Program Files\Web Care\WebCareSetupVersion1.0.exe" 파일로 생성한 후 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Web Care
C:\Program Files\Web Care\category.dt
C:\Program Files\Web Care\dbc.dat
C:\Program Files\Web Care\dbs.dat
C:\Program Files\Web Care\nhopen.dll
C:\Program Files\Web Care\unwcp.exe :: 프로그램 삭제 파일
C:\Program Files\Web Care\wclver.dat
C:\Program Files\Web Care\wcp.exe
C:\Program Files\Web Care\wcph.exe
C:\Program Files\Web Care\wcplogon.exe :: 메모리 상주 프로세스
C:\Program Files\Web Care\wcpm.exe :: 웹케어(WebCare) 프로그램 실행 파일
C:\Program Files\Web Care\wcpmon.dll
C:\Program Files\Web Care\wcpns.exe :: 메모리 상주 프로세스
C:\Program Files\Web Care\wcpon.exe :: 메모리 상주 프로세스
C:\Program Files\Web Care\wcpprotect.dll
C:\Program Files\Web Care\wcps.exe :: 서비스(Windows Webcare Service) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Web Care\WebCareSetupVersion1.0.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Webcare
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Webcare\Setting.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Webcare

 

[생성 파일 진단 정보]

 

C:\Program Files\Web Care\nhopen.dll
 - SHA-1 : 2635aeb55edbd50a830695412efe67e6b482b56b
 - nProtect : Adware/W32.KrAdword.1412056 (VT : 4/49)

 

C:\Program Files\Web Care\wcp.exe
 - SHA-1 : c53d34d8f136a7f444e08580b5ce7e6b35046132
 - avast! : Win32:Adware-AZC [Adw] (VT : 5/50)

 

C:\Program Files\Web Care\wcph.exe
 - SHA-1 : a506611c8a4c1a0bfd9924baa19c2fad39f6ed9e
 - avast! : Win32:Adware-AZC [Adw] (VT : 4/50)

 

C:\Program Files\Web Care\wcplogon.exe
 - SHA-1 : 86b5c8b65dd1869f51e4c9bc71586527185d9e89
 - avast! : Win32:Adware-AZC [Adw] (VT : 2/50)

 

C:\Program Files\Web Care\wcpmon.dll
 - SHA-1 : d6aa5d77e3a754b50de0eefd0134569d376bd99f
 - AhnLab V3 : PUP/Win32.HubHelper (VT : 14/50)

 

C:\Program Files\Web Care\wcpns.exe
 - SHA-1 : ea27aa756a664fb55e6a96f174807c49fa80c172
 - ESET : a variant of Win32/AdWare.Kraddare.IG (VT : 21/50)

 

C:\Program Files\Web Care\wcpon.exe
 - SHA-1 : ab91d0fb8670c156710e410344643e97fac6f991
 - AhnLab V3 : PUP/Win32.URLHelper (VT : 27/50)

 

C:\Program Files\Web Care\wcps.exe
 - SHA-1 : 2e938576f1348305d00f7520eb807ac911412a38
 - BitDefender : Gen:Variant.Adware.Kraddare.16 (VT : 12/50)

 

C:\Program Files\Web Care\WebCareSetupVersion1.0.exe
 - SHA-1 : 5142b380e8e24afca3feec44867eb7e01e43a73c)
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.dk (VT : 13/49)

"DivineMedia Inc." 디지털 서명이 포함된 웹케어(WebCare) 프로그램은 "C:\Program Files\Web Care" 폴더에 파일을 생성하며, 사용자가 프로그램 메뉴에 등록된 "Setting" 메뉴를 실행할 경우 "C:\Program Files\Web Care\wcpm.exe" 파일(SHA-1 : de371d57ea1c33d0559380aca4294ed69f39db65) 실행을 통해 다음과 같은 웹케어(WebCare) 설정창이 생성됩니다.

생성된 웹케어(WebCare) 프로그램은 기본값으로 성인 사이트와 도박 사이트 차단 기능이 활성화된 상태로 동작하며, 이렇게 설치된 프로그램은 유해 사이트 차단 기능 이외에 다음과 같은 2종의 광고 기능을 필수적으로 포함하고 있습니다.

 

1. "Windows Webcare Service" 서비스를 이용한 프로그램 실행

"Windows Webcare Service" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Web Care\wcps.exe" 파일을 자동 실행하여 "C:\Program Files\Web Care\wcp.exe" 파일을 추가 로딩합니다.

  • C:\Windows\System32\tmpwcver.dat :: 프로그램 버전 체크
  • C:\Windows\System32\wc_guide.html :: 이용약관 체크

실행된 파일(wcp.exe)은 특정 서버로부터 프로그램 버전 및 이용약관 정보를 체크한 후 생성 파일은 자가 삭제 처리합니다.

 

이후 "C:\Program Files\Web Care\wcplogon.exe" 파일을 실행한 후 wcp.exe 파일은 자가 종료 처리됩니다.

  • "C:\Program Files\Web Care\wcpns.exe" -i golf golf04
  • C:\Program Files\Web Care\wcpon.exe

실행된 wcplogon.exe 파일은 2개의 파일을 추가 실행하여 자신의 자식 프로세스로 등록하여 메모리에 상주시킵니다.

실행된 wcpns.exe 파일은 특정 광고 서버(Windows VOA)와 지속적인 통신을 시도하며 광고 구성값 정보를 체크하며, wcpon.exe 파일은 오픈팟(OpenPot) 광고 서버와 통신을 통해 광고 구성값을 체크합니다.

 

2. "Windows WebCare" 프로그램 광고 기능

 

(1) "C:\Program Files\Web Care\wcplogon.exe" 파일 기능

메모리에 상주하는 "C:\Program Files\Web Care\wcplogon.exe" 파일은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 전체 화면 크기의 제휴 코드(cl.ncclick.co.kr)가 추가된 광고창을 생성합니다.

 

(2) "C:\Program Files\Web Care\wcpon.exe" 파일 기능

메모리에 상주하는 "C:\Program Files\Web Care\wcpon.exe" 파일은 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 오픈팟(OpenPot) 광고 서버(ad.openmatch.co.kr)로부터 제공되는 정보를 바탕으로 광고창을 생성합니다.

 

3. 프로그램 삭제 방법

"Windows WebCare" 프로그램이 설치된 환경에서 정상적으로 프로그램이 동작할 경우 wcplogon.exe, wcpns.exe, wcpon.exe, wcps.exe 4개의 프로세스가 메모리에 상주하므로 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "Windows Webcare Service"] 명령어를 입력하여 서비스 프로세스(wcps.exe)를 자동으로 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 wcplogon.exe, wcpns.exe, wcpon.exe 3개의 프로세스가 존재할 경우 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Windows WebCare" 삭제 항목을 클릭하시기 바랍니다.(※ 변종에 따라서는 "Webcare Ver1.0" 이름으로 등록되어 있을 수 있습니다.)

삭제 항목을 클릭하면 "Program Uninstaller" 창이 생성되며, 제시된 Password 값을 참고하여 "Password Confirm" 공란에 동일하게 입력하시기 바랍니다.

 

그 후 "Agree to delete the program" 체크 박스에 체크 후 "Delete" 버튼을 클릭하시면 프로그램 삭제가 진행되며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\Web Care
  • C:\Program Files\Web Care\unwcp.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows Webcare Service
HKEY_CURRENT_USER\Software\webcareplus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WebCarePlus_is1
HKEY_LOCAL_MACHINE\SOFTWARE\WinWebCare
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Windows Webcare Service

 

웹케어(WebCare) 유해 사이트 차단 프로그램은 필수적으로 포함되어 있는 광고 기능으로 인하여 인터넷 검색시 다양한 광고창 생성으로 불편이 예상되며, 어떤 프로그램을 통해 광고창 생성이 발생하는지 쉽게 확인이 어려울 수 있으므로 주의하시기 바랍니다.