울지않는벌새 : Security, Movie & Society

검색 도우미 : WindowsOptimize

벌새::Analysis

PC 최적화 기능이 포함되어 인터넷 검색시 다양한 광고 기능을 수행하는 검색 도우미 WindowsOptimize 프로그램<SHA-1 : b5e70a6831fa446eebc39705b2f99d05f7d7fa07 - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 5/52)>에 대해 살펴보도록 하겠습니다.

배포 파일을 통해 설치가 진행되면 특정 서버에서 WindowsOptimize 설치 파일(SHA-1 : c4c1331955373b72e2534c667761240c6faac714)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\WindowsOptimize_setup.exe" 파일로 생성 및 실행되어 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\WindowsOptimize_setup.exe

C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\log
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe :: 시작 프로그램(openpot_openpot) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimize.exe :: WindowsOptimize 프로그램 실행 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeBD.exe
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeC.dll
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizePC.dt
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeR.dll
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeS.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUp.exe :: 시작 프로그램(WindowsOptimizeUpdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUpch.exe :: 시작 프로그램(WindowsOptimizeUpCh) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeY.dll
C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\winlogo.exe :: 메모리 상주 프로세스

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeR.dll
 - SHA-1 : a634ca397dcdeae0dddbf62e0046a1caebbce3ef
 - AhnLab V3 : PUP/Win32.KeywordPop (VT : 10/52)

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\winlogo.exe
 - SHA-1 : 426175c633120fc9c7b9d833d09030c40b30d64a
 - ESET : a variant of Win32/AdWare.Kraddare.JP (VT : 5/52)

"bumone" 디지털 서명이 포함된 WindowsOptimize 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize" 폴더에 파일을 생성하며, 다음과 같은 시작 프로그램 등록값을 통해 Windows 시작시 자동 실행되도록 구성되어 있습니다.

  • openpot_openpot = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe
  • WindowsOptimizeUpCh = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUpCh.exe
  • WindowsOptimizeUpdate = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUp.exe

WindowsOptimize 프로그램은 외형적으로 사용자가 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimize.exe" 파일(SHA-1 : 333899665006e086ff4e0a9d5db681c82da374cc)을 찾아 직접 실행한 경우 PC 최적화 기능(인터넷 임시 파일, 쿠키 파일 삭제)을 제공하는 것처럼 제작되어 있습니다.

하지만 PC 최적화 기능은 사용자로 하여금 프로그램 설치를 유도할 목적이며, 실질적으로 WindowsOptimize 프로그램 설치를 통해 3종의 광고 모듈을 통해 다양한 광고 동작을 수행합니다.

 

1. "WindowsOptimizeUpdate" 시작 프로그램 기능 : C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUp.exe

 

Windows 시작시 WindowsOptimizeUpdate 시작 프로그램 등록값을 통해 자동 실행되는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUp.exe" 파일(SHA-1 : df64a60963f7327cade5e7b09c97ea7739e1ea98)은 프로그램 업데이트 체크 수행 후 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeS.exe" 파일(SHA-1 : 242b0de23a630d6eedc6cbacb0fb2ac72f52d977)을 로딩한 후 자가 종료 처리됩니다.

 

실행된 WindowsOptimizeS.exe 파일은 추가적으로 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe", "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\winlogo.exe" 2개의 파일을 실행하여 메모리에 상주하며 실행된 파일들은 각 광고 서버에서 광고 구성값 정보를 체크합니다.

 

2. "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeS.exe" 파일 기능

메모리에 상주하는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeS.exe" 파일은 인터넷 검색 및 웹 사이트 접속시 1~2개의 광고창을 자동으로 생성하는 광고 기능을 수행합니다.

참고로 해당 광고 모듈은 WindowsOptimizeS.exe 파일에 추가된 WindowsOptimizeC.dll 파일(SHA-1 : 8c8bb38978ff3b110c42278b388659143850bace - 디지털 서명 : jncmarketing inc.), WindowsOptimizeR.dll 파일, WindowsOptimizeY.dll 파일(SHA-1 : 3e5666e6514cf0986bfd23f575b5211fafc16b01 - 디지털 서명 : Zest On co ltd)을 통해 구현됩니다.

 

3. "openpot_openpot" 시작 프로그램 기능 : C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe

Windows 시작시 openpot_openpot 시작 프로그램 등록을 통해 자동 실행된 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe" 파일(SHA-1 : 1859fb3af51d8bd34ac253522491a656e0a541dd - 디지털 서명 : God of Advertising Co.,Ltd)은 사용자가 인터넷 검색시 관련 정보를 "api.openpot.kr" 광고 서버에 전송하여 매칭되는 경우 토스트 광고 팝업창을 생성할 수 있습니다.

 

4. "WindowsOptimizeUpCh" 시작 프로그램 기능 : C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUpch.exe

 

Windows 시작시 WindowsOptimizeUpCh 시작 프로그램 등록을 통해 자동 실행되는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUpch.exe" 파일(SHA-1 : 4134203a5c0013154e56618ef5298dfa0fd8ecc8)은 WindowsOptimize 서버와 통신 여부를 체크한 후 자동 종료 처리됩니다.

 

5. "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\winlogo.exe" 파일 기능

Windows 시작시 WindowsOptimizeUpdate 시작 프로그램 등록을 통해 자동 실행된 WindowsOptimizeUp.exe 파일이 로딩한 WindowsOptimizeS.exe 파일을 통해 자동 실행되어 메모리에 상주하는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\winlogo.exe" 파일은 인터넷 검색 및 웹 사이트 접속시 멀티탭 방식의 "u.openpotservice.com" 광고창을 생성할 수 있습니다.

 

6. "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeBD.exe" 파일 기능

그 외에 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeBD.exe" 파일(SHA-1 : 92bfb6385f2d94c25fd77f814380633cca3dfaf4)은 백그라운드 방식으로 특정 광고 서버에 등록된 제휴 프로그램을 설치할 수 있을 것으로 추정됩니다.

  • h**p://dn.win***search.co.kr/install/windowsearchinstall.exe (SHA-1 : f002a041945622ce3eb38842fa25ebfd10564c81) - avast! : Win32:HowSoft-A [PUP] (VT : 4/52)

현재 확인된 제휴 프로그램은 2012년경에 배포되었던 "WindowSearch Control" 검색 도우미 설치 파일이 발견되고 있습니다.

 

위와 같이 설치된 WindowsOptimize 검색 도우미 프로그램의 광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 openpot.exe, WindowsOptimizeS.exe, winlogo.exe 3개의 프로세스를 찾아 종료하시기 바랍니다.

 

특히 winlogo.exe 프로세스는 Windows 기본 프로세스 중의 하나인 "C:\Windows\System32\winlogon.exe" 프로세스(Windows 로그온 응용 프로그램)와 이름이 유사하여 혼동하지 않도록 주의하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "WindowsOptimize" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 "C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize" 폴더를 찾아 추가적으로 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - openpot_openpot = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe

또한 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 openpot_openpot 시작 프로그램 등록값을 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\ClickPop
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - openpot_openpot = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\openpot.exe
 - WindowsOptimizeUpCh = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUpCh.exe
 - WindowsOptimizeUpdate = C:\Users\(사용자 계정)\AppData\Roaming\WindowsOptimize\WindowsOptimizeUp.exe
HKEY_CURRENT_USER\Software\Yestop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{E2F03517-417D-4852-9D7F-D3DAC4EEA287}_is1

 

WindowsOptimize 검색 도우미 프로그램은 PC 최적화 기능을 제공하는 프로그램처럼 제작되어 있지만 다양한 광고 모듈을 추가하여 인터넷 검색 및 웹 사이트 접속시 추가적인 광고창이 다수 생성되어 불편을 유발하고 있으므로 주의하시기 바랍니다.