특정 인터넷 쇼핑몰 이용 후 Internet Explorer 웹 브라우저 종료시 광고창을 생성하는 검색 도우미 "WindowPurchaseHelper Uninstall" 프로그램에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Windows purchase helper Uninstall (2012.11.18)
해당 프로그램은 기존의 "Windows purchase helper Uninstall" 프로그램의 업데이트 버전으로 확인되고 있으므로 참고하시기 바랍니다.
▷ 윈도우뷰콘(Windowviewcon)에 추가된 Windows purchase helper 검색 도우미 프로그램 주의 (2013.4.14)
또한 "WindowPurchaseHelper Uninstall" 프로그램은 기존에 소개한 것처럼 Windowviewcon 검색 도우미와 함께 설치되는 방식으로 배포가 이루어지고 있습니다.
실제 배포 파일<SHA-1 : a7bfccbe009d0fccbe1c66c15dfe2d3a0e932431) - AhnLab V3 : PUP/Win32.WindowViewCon (VT : 7/49)>을 살펴보면 내부에 다음과 같은 2개의 설치 파일이 포함되어 있습니다.
- WindowsPurchaseHelperSetup_goormar.exe (SHA-1 : 7ef43cc469b3ec830c952766577068d0390f225b) :: "Windows purchase helper" 설치 파일
- WindowviewconSetup_goorma_1.exe (SHA-1 : 4123f9b8b8258c6ad3183d69b6284bd864495190) - AhnLab V3 : PUP/Win32.WindowViewCon (VT : 7/50) :: Windowviewcon 설치 파일
"Windows purchase helper" 설치 파일을 통해 프로그램 설치가 진행되면 이전 분석 정보와 마찬가지로 "C:\ProgramData\WindowsPurchaseHelper" 폴더에 파일을 생성합니다.
C:\ProgramData\WindowsPurchaseHelper
C:\ProgramData\WindowsPurchaseHelper\uninst.exe :: 프로그램 삭제 파일
C:\ProgramData\WindowsPurchaseHelper\windowsph.exe :: 메모리 상주 프로세스
C:\ProgramData\WindowsPurchaseHelper\windowsphup.exe :: 시작 프로그램 등록 파일
C:\ProgramData\WindowsPurchaseHelper\windowsph.exe
- SHA-1 : 25fb29d0700c6313f624249e2c352342912896b1
- AhnLab V3 : PUP/Win32.WindowsTap (VT : 3/50)
C:\ProgramData\WindowsPurchaseHelper\windowsphup.exe
- SHA-1 : afa2e3f85978eab62be19607e3d64a7f162d2fca
- AhnLab V3 : PUP/Win32.Helper (VT : 3/50)
"Windows purchase helper" 프로그램 설치된 후 자동으로 "C:\ProgramData\WindowsPurchaseHelper\windowsphup.exe" 파일 실행을 통해 프로그램 업데이트 체크를 수행합니다.
이를 통해 특정 서버로부터 업데이트 기능을 수행할 파일<SHA-1 : e48834871ab081add5aa979d7c42c7c50aec04f9 - nProtect : Adware/W32.KrAdword.90744 (VT : 20/50)>을 다운로드하여 "C:\ProgramData\WindowsPurchaseHelper\trash\windowsphup.exe" 파일로 생성한 후 자동 실행됩니다.
실행된 파일은 2가지 기능을 수행하는데 ① 기존에 설치한 "Windows purchase helper" 프로그램 삭제 ② "WindowPurchaseHelper Uninstall" 프로그램 설치를 진행합니다.
이를 통해 "C:\ProgramData\WindowsPurchaseHelper" 폴더 내에 존재하던 "Windows purchase helper" 프로그램 관련 파일들은 모두 자동 삭제한 모습을 확인할 수 있습니다.
또한 특정 서버로부터 "WindowPurchaseHelper Uninstall" 프로그램 설치를 위한 파일들이 포함된 install.zip 압축 파일(SHA-1 : DCEE776243D3009F36F519C49D739A6444E0C610)을 다운로드하여 다음과 같이 프로그램 설치를 진행합니다.
C:\Users\(사용자 계정)\AppData\Local\windowpurchase
C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase_uc.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase_unins.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase_uc.exe
- SHA-1 : eccad88cd5f4c5af4fbe65ebb5d60ab0d2eb1eba
- AhnLab V3 : Win-PUP/Helper.WindowPurchase.92792 (VT : 26/50)
C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase.exe
- SHA-1 : fc9f5fb0ec1584f387fff78c3a161a1877582c1b
- AhnLab V3 : Win-PUP/Helper.WindowPurchase.74360 (VT : 12/50)
"DOTPITCH.INC" 디지털 서명이 포함된 "WindowPurchaseHelper Uninstall" 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\windowpurchase" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase_uc.exe" /run] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일(windowpurchase_uc.exe)은 특정 서버로부터 업데이트 정보를 체크하며, 현재는 서버에 존재하지 않는 업데이트 관련 파일을 추가 다운로드할 수 있습니다.
- h**p://****.muuk.co.kr/app/windowpurchase/home/windowpurchase_uc_uc.exe
이후 "C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase.exe" 파일을 추가 로딩하여 메모리에 상주하여 광고 구성값 정보를 체크합니다.
해당 프로그램이 설치된 환경에서 사용자가 G마켓, 옥션 인터넷 쇼핑몰 사이트를 이용한 후 웹 브라우저 창을 종료하는 시점에서 자동으로 제휴 코드(cl.ilikeclick.com)가 포함된 광고창을 생성할 수 있습니다.
해당 광고 동작은 메모리에 상주하는 windowpurchase.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 windowpurchase.exe 프로세스를 찾아 종료하시기 바랍니다.
프로그램 삭제는 제어판에 등록된 "WindowPurchaseHelper Uninstall" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\ProgramData\WindowsPurchaseHelper
- C:\ProgramData\WindowsPurchaseHelper\trash
- C:\ProgramData\WindowsPurchaseHelper\trash\windowsphup.exe
HKEY_CURRENT_USER\Software\Classes\VirtualStore\MACHINE\SOFTWARE\windowpurchasehelper2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- WINDOWPURCHASE_UC = "C:\Users\(사용자 계정)\AppData\Local\windowpurchase\windowpurchase_uc.exe" /run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\windowpurchasehelper2
HKEY_CURRENT_USER\Software\windowpurchasehelper2
HKEY_CURRENT_USER\Software\WindowsPurchaseHelper
"WindowPurchaseHelper Uninstall" 프로그램은 기본적으로 Windowviewcon 프로그램과 함께 설치되며, 인터넷 이용시 원치않는 광고창 생성 및 차후 업데이트를 통해 프로그램이 변경될 수 있으므로 주의하시기 바랍니다.