울지않는벌새 : Security, Movie & Society

파일 다운로드 기능을 가진 "winiesearch 1.00" 프로그램 주의

벌새::Analysis

제휴 프로그램 등의 다양한 배포 방식을 통해 설치가 이루어진 것으로 추정되는 국내에서 제작된 "winiesearch 1.00" 프로그램은 광고 기능보다는 차후 사용자 몰래 추가적인 광고 프로그램을 설치하는 것으로 보입니다.

"winiesearch 1.00" 프로그램(SHA-1 : 240ccd5f18a22d0f1f7f643b0e870f00aea83c1b)은 2014년 3월 11일경 집중적으로 배포가 이루어졌으며 avast! 보안 제품에서는 Win32:VB-UTQ [Trj] (VT : 20/46) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\winiesearch
C:\Program Files\winiesearch\openservice.dll :: BHO 등록 파일
C:\Program Files\winiesearch\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\winiesearch\Uninstall.ini
C:\Windows\System32\openservicep.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\winiesearch\openservice.dll
 - SHA-1 : 4d32a66f887cbeedbb5a99f0dd5ab74334789350
 - avast! : Win32:VB-UTQ [Trj] (VT : 5/51)

"OCEAN INC Co.,Ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\winiesearch" 폴더에 주요 파일을 생성하며 기본적으로 다음과 같은 방식으로 동작할 수 있습니다.

 

이름

 openserviceprg.openservice

게시자

 OCEAN INC Co.,Ltd.

유형

 브라우저 도우미 개체

CLSID

 {1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}

파일

 C:\Program Files\winiesearch\openservice.dll

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 "openserviceprg.openservice" 브라우저 도우미 개체(BHO)를 등록하여 "C:\Program Files\winiesearch\openservice.dll" 파일을 로딩합니다.

이를 통해 특정 IP 서버에 등록된 OpenService 값을 체크하며 서버에 추가적인 파일이 등록되어 있는 경우 사용자 몰래 다운로드 및 실행하여 추가적인 광고 프로그램을 설치할 수 있습니다.

  • h**p://121.78.93.27/~paran/down/cleverup.exe (SHA-1 : 19e97fe9319115058b5fd4ad396ca15e8d776f46) - MSE : Trojan:Win32/Msidebar.C
  • h**p://121.78.93.27/~paran/down/ncpup.exe (SHA-1 : 9838f6b57e8c586d436a7d27e15fb8c333a3f7a9) - Kaspersky : Trojan-Downloader.Win32.Fosniw.arbt
  • h**p://121.78.93.27/~paran/down/cleverocup.exe (SHA-1 : d2b5a8a7cfde71ccdfccfc526272baf4d283bcba) - avast! : Win32:VB-ADJE [Trj]
  • h**p://121.78.93.27/~paran/down/cpsetup.exe (SHA-1 : 13f503c6d5672464f33442b075c765337f2287a0) - Kaspersky : not-a-virus:AdWare.Win32.VB.il
  • h**p://121.78.93.27/~paran/down/goosearchup.exe (SHA-1 : c2c8e9794bdc0f90a54e51f02e29d82ac82ce3d4) - Kaspersky : Trojan.Win32.Genome.akara
  • h**p://121.78.93.27/~paran/down/topsearchdtn.exe (SHA-1 : 22bed11bcde9cc22a30cc8c0e550820320292f05) - Kaspersky : not-a-virus:AdWare.Win32.VB.kp
  • h**p://121.78.93.27/~paran/down/winsearchgmna.exe (SHA-1 : 3919649c7c0a6eeecf8c3c678d076c42e93d0091) - AhnLab V3 : Adware/Win32.VB
  • h**p://121.78.93.27/~paran/down/opensearchinst.exe (SHA-1 : 37f6fc8c4833ee49407e96fd0f57dd0b79b1b452) - Kaspersky : Trojan-Downloader.Win32.Agent.xtrx
  • h**p://121.78.93.27/~paran/down/winsearchchi.exe (SHA-1 : 0c0beb22ffc2d11890ba56bc184d1f929e204065) - Kaspersky : not-a-virus:AdWare.Win32.Loadwar.ckm
  • h**p://121.78.93.27/~paran/down/gooslegummup.exe (SHA-1 : d3ba0383b5dc214f95c99b6062881723d0a06d8d) - Kaspersky : Trojan.Win32.Genome.ahvka

참고로 2012년 8월경부터 2013년 11월경까지 확인된 대표적인 유포 파일을 조사해보니 다수가 존재하였던 것으로 확인되고 있습니다.

이릍 통해 추가적으로 설치된 광고 프로그램은 "C:\Windows\System32\openservicep.dll" 파일(SHA-1 : b80912f4a57d72c0284dc521c8ef74089794e20c)과 조합되어 인터넷 검색시 특정 광고 검색 서비스로 연결될 수 있을 것으로 추정됩니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "winiesearch 1.00" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\winiesearch
  • C:\Program Files\winiesearch\openservice.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{331C21F2-C710-49AF-9E64-EBFC0D055FF0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\openserviceprg.openservice
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F7CF7E19-F22D-4E3A-A798-BCC649D361C0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{1D63E9FC-ED34-4B20-A446-1FAB6E4CAE62}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winiesearch 1.00

"winiesearch 1.00" 프로그램이 설치된 일부 환경에서는 프로그램의 저품질로 인하여 Windows 탐색기 오픈시 오류가 발생할 수 있으며, 배포자의 의도에 따라 원치않는 프로그램이 설치될 수 있으므로 주의하시기 바랍니다.