인터넷을 이용하는 과정에서 자동으로 광고창을 생성하며, 추가적으로 설치된 파일을 통해 백그라운드 방식으로 수익 활동을 진행하는 것으로 판단되는 검색 도우미 "Window Search" 프로그램<SHA-1 : d6aaf9b7cf9a3b1e136f6f9b5b88b6ca5751f802 - AhnLab V3 : PUP/Win32.WindoSearch (VT : 5/52)>에 대해 살펴보도록 하겠습니다.
Window Search 광고 프로그램이 설치되는 과정에서 추가적인 설치 파일<SHA-1 : 417a8fe103edefcd5f69129c450c59a17d8c258c - Symantec : Trojan.ADH.SMH (VT : 6/52)>을 다운로드 및 실행하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wsc.exe" 파일을 생성하여 "C:\Program Files\windosearch" 폴더 내에 파일을 추가할 수 있습니다.(※ 특정 PC 환경에서는 추가 다운로드는 이루어지지만 실제 파일 생성은 이루어지지 않을 수 있습니다.)
C:\Program Files\windosearch
C:\Program Files\windosearch\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\windosearch\windosearch.dll :: BHO(Window Search Class) 등록 파일
C:\Program Files\windosearch\windosearch.exe :: 시작 프로그램(windosearch) 등록 파일, 메모리 상주 프로세스
C:\Program Files\windosearch\windosearchagent.exe :: 시작 프로그램(windosearchagent) 등록 파일, 메모리 상주 프로세스
C:\Program Files\windosearch\windosearchdesk.exe :: 시작 프로그램(windosearchdesk) 등록 파일, 메모리 상주 프로세스
C:\Program Files\windosearch\windsch_uninstall.exe
C:\Program Files\windosearch\windsch.dll :: BHO(windsch) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wsc.exe
C:\Program Files\windosearch\windosearch.dll
- SHA-1 : 53c82839b959c898e52e87230238d7fc79f56764
- AhnLab V3 : Adware/Win32.BHO (VT : 1/52)
C:\Program Files\windosearch\windosearch.exe
- SHA-1 : adde6017cd4b0300a06d827a672efae67a84c4fc
- AhnLab V3 : PUP/Win32.WindViewer (VT : 2/52)
C:\Program Files\windosearch\windosearchagent.exe
- SHA-1 : 77ad4c3e107c267570dc598ded0008e0687c391f
- Hauri ViRobot : Adware.Agent.86088.B (VT : 4/51)
C:\Program Files\windosearch\windosearchdesk.exe
- SHA-1 : 656026f3a554eac0eb163cbf3c71d07e4a634c1f
- AhnLab V3 : PUP/Win32.WindViewer (VT : 2/52)
C:\Program Files\windosearch\windsch_uninstall.exe
- SHA-1 : 95febd0ad56afc80d470f764ce4d5575bd348965
- AhnLab V3 : PUP/Win32.WindoGuide (VT : 15/52)
C:\Program Files\windosearch\windsch.dll
- SHA-1 : 7b4af601863e646f3b43454b06e3cad78e30ed4d
- AhnLab V3 : PUP/Win32.Addendum (VT : 5/52)
C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\setup_wsc.exe
- SHA-1 : 417a8fe103edefcd5f69129c450c59a17d8c258c
- Symantec : Trojan.ADH.SMH (VT : 6/52)
torangcommunications 디지털 서명이 포함된 Window Search 프로그램은 "C:\Program Files\windosearch" 폴더에 파일을 생성하며, 추가 설치 파일<SHA-1 : 417a8fe103edefcd5f69129c450c59a17d8c258c - Symantec : Trojan.ADH.SMH (VT : 6/52)> 다운로드 및 실행을 통해 다음의 2개의 파일을 함께 생성합니다.
- h**p://down.***dsch.com/wsc1/ver4/windsch.dll (SHA-1 : 7b4af601863e646f3b43454b06e3cad78e30ed4d) - AhnLab V3 : PUP/Win32.Addendum (VT : 5/52) :: "C:\Program Files\windosearch\windsch.dll"
- h**p://down.***dsch.com/wsc1/ver4/uninstall.exe (SHA-1 : 95febd0ad56afc80d470f764ce4d5575bd348965) - AhnLab V3 : PUP/Win32.WindoGuide (VT : 15/52) :: "C:\Program Files\windosearch\windsch_uninstall.exe"
참고로 추가 설치를 위해 다운로드되는 설치 파일은 Themida 실행 압축 파일로 가상 및 분석 프로그램이 존재할 경우 실행되지 않도록 제작되어 있습니다.
설치된 프로그램은 다음과 같은 3개의 시작 프로그램 등록값을 등록하여 Windows 시작시 자동 실행하도록 구성되어 있습니다.
- windosearch = C:\Program Files\windosearch\windosearch.exe
- windosearchagent = C:\Program Files\windosearch\windosearchagent.exe
- windosearchdesk = C:\Program Files\windosearch\windosearchdesk.exe
1. windosearchagent 시작 프로그램 기능
Windows 시작시 windosearchagent 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\windosearch\windosearchagent.exe" 파일은 프로그램 버전 및 사용자 PC 고유값 정보를 체크합니다.
실행된 windosearchagent.exe 파일은 특정 서버에서 인터넷 쇼핑몰(※ 11번가, G마켓, 옥션 추정) 바로가기 아이콘을 추가로 다운로드하여 시작 메뉴, 작업 표시줄, 즐겨찾기에 등록할 수 있으며, 테스트 시점에서는 추가적인 다운로드는 이루어지지 않고 있습니다.
또한 Windows 시작시마다 자동 실행된 windosearchagent.exe 파일은 "Window Search Class" 브라우저 도우미 개체(BHO)가 "사용 안 함" 상태로 변경된 경우 재사용하도록 수정을 합니다.
자동 실행된 windosearchagent.exe 파일은 광고 기능을 수행하는 "C:\Program Files\windosearch\windosearch.exe", "C:\Program Files\windosearch\windosearchdesk.exe" 2개의 파일을 추가로 로딩하여 메모리에 상주하도록 합니다.
특히 windosearchagent.exe 프로세스는 메모리에 상주하는 windosearch.exe, windosearchdesk.exe 프로세스가 사용자에 의해 강제 종료 처리될 경우 프로세스 보호 기능을 통해 자동으로 재실행되도록 하고 있습니다.
2. windosearch 시작 프로그램 기능
Windows 시작시 windosearch 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\windosearch\windosearch.exe" 파일은 특정 서버에 실행 정보를 전송하며 메모리에 상주합니다.
실행된 windosearch.exe 파일은 사용자가 인터넷 검색시 사용하는 검색 엔진과 광고 URL 값을 참고하여 광고창을 생성할 수 있으며, 해당 파일은 "Window Search Class" 브라우저 도우미 개체(BHO) 등록 파일(C:\Program Files\windosearch\windosearch.dll)과 유사한 기능을 수행하는 것으로 보입니다.
3. windosearchdesk 시작 프로그램 기능
Windows 시작시 windosearchdesk 시작 프로그램 등록값을 통해 자동 실행된 "C:\Program Files\windosearch\windosearchdesk.exe" 파일은 특정 서버에 실행 정보를 전송하며 메모리에 상주합니다.
실행된 windosearchdesk.exe 파일은 사용자가 인터넷 검색시 사용한 검색 키워드 값을 특정 광고 서버에 전송하는 동작을 확인할 수 있습니다.
4. 브라우저 도우미 개체(BHO) 기능
Window Search 검색 도우미 프로그램이 정상적으로 설치된 경우 "Window Search Class", "windsch" 2개의 브라우저 도우미 개체(BHO)를 레지스트리 값 조작을 통해 사용자 동의없이 자동으로 추가하여 동작하도록 제작되어 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {6D1AD367-5454-4BEE-A71E-2030F3023686}
- {CC01FC6C-06AE-4864-B49F-E3E55514726E}
|
이름 |
Window Search Class |
|
게시자 |
torangcommunications |
|
CLSID |
{6D1AD367-5454-4BEE-A71E-2030F3023686} |
|
파일 |
C:\Program Files\windosearch\windosearch.dll |
Internet Explorer 웹 브라우저 실행시 "Window Search Class" 브라우저 도우미 개체(BHO)를 등록하여 "C:\Program Files\windosearch\windosearch.dll" 광고 모듈을 실행합니다.
이를 통해 사용자가 인터넷 검색을 통해 특정 웹 사이트 접속 후 종료하는 과정에서 제휴 코드가 포함된 광고창을 전체 화면 크기로 생성하는 동작을 확인할 수 있습니다.
|
이름 |
windsch |
|
게시자 |
torangcommunications |
|
CLSID |
{CC01FC6C-06AE-4864-B49F-E3E55514726E} |
|
비고 |
c:\Program Files\windosearch\windsch.dll |
Window Search 프로그램 설치 과정에서 추가적으로 다운로드되어 설치된 "windsch" 브라우저 도우미 개체(BHO)는 "C:\Program Files\windosearch\windsch.dll" 광고 모듈을 실행하도록 되어 있습니다.
특히 Internet Explorer 웹 브라우저 이외에도 Windows 탐색기(explorer.exe) 프로세스에 windsch.dll 모듈을 추가하여 사용자가 "windsch" 브라우저 도우미 개체(BHO)를 "사용 안 함"으로 변경하여도 동작할 수 있도록 되어 있습니다.
또한 Themida Packer로 제작된 windsch.dll 파일은 가상 환경(Oracle, VMware)과 네트워크 분석 도구(Charles HTTP 분석툴, Colasoft 네트워크 분석툴, EffeTech 네트워크 분석툴, Fiddler, HttpWatch, IEInspector, WinPcap, WireShark, XK72 HTTP 트래픽 분석툴)를 체크하여 존재시 동작을 하지 않도록 제작되어 있습니다.
실제 동작을 간단하게 살펴보면 외형적으로는 광고 행위가 확인되지 않으며, 네이버(Naver) 검색시 입력된 검색 키워드 값을 특정 광고 서버에 전송하여 Daum 검색 광고 솔루션으로 연결하는 부분을 발견할 수 있습니다.
이 부분을 자세하게 살펴보면 사용자가 입력한 검색 키워드 값을 기반으로 특정 광고 서버에서는 알려지지 않은 인터넷 검색 서버로 검색 키워드 값을 전송하는 부분을 확인할 수 있습니다.
실제 연결된 검색 사이트를 확인해보면 다음(Daum) 프리미엄 링크 등이 포함된 검색 서비스를 제공하고 있지만, 일반 사용자들이 해당 사이트를 찾아가서 직접 이용하는 일은 거의 없을 것으로 판단됩니다.
즉 해당 검색 사이트는 Window Search 프로그램과 같은 광고 프로그램이 전송하는 검색 키워드 값을 통해 내부에 배치된 Daum 검색 광고 솔루션이 동작할 것으로 추정됩니다.
이 과정에서 암호화된 인터넷 쇼핑몰 관련 리스트 정보를 체크하며, Window Search 검색 도우미 프로그램이 설치된 환경에서는 관련 동작은 화면 상으로는 표시되지 않을 가능성이 높습니다.
5. 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 "① windosearchagent.exe → ② windosearch.exe (windosearchdesk.exe) → ③ windosearchdesk.exe (windosearch.exe)" 프로세스 순서로 종료하시기 바랍니다.
(b) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Window Search" 삭제 항목을 이용하여 프로그램을 삭제할 수 있습니다.
프로그램 삭제 이후에 시작 메뉴, 작업 표시줄, 즐겨찾기에 11번가, G마켓, 옥션 바로가기 아이콘이 존재할 경우 추가적으로 삭제하시길 권장합니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {6D1AD367-5454-4BEE-A71E-2030F3023686}
- {CC01FC6C-06AE-4864-B49F-E3E55514726E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- windosearch = C:\Program Files\windosearch\windosearch.exe
- windosearchagent = C:\Program Files\windosearch\windosearchagent.exe
- windosearchdesk = C:\Program Files\windosearch\windosearchdesk.exe
HKEY_CURRENT_USER\Software\windosearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6D1AD367-5454-4BEE-A71E-2030F3023686}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-06AE-4864-B49F-E3E55514726E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{78FCA363-C359-414E-9C2A-9082FED5398E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D24272F8-BC32-4031-9744-885AC00F8E2E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windsch.windsch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wsbho.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\wsbho.1.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D1AD367-5454-4BEE-A71E-2030F3023686}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-06AE-4864-B49F-E3E55514726E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Window Search
Window Search 검색 도우미 프로그램은 윈도우즈(Windows) 관련 정상적인 프로그램처럼 혼동을 유발할 수 있으며, 프로그램 설치로 인하여 사용자는 제대로 인지하지 못하는 과정에서 다양한 수익 활동이 이루어지고 있으므로 주의하시기 바랍니다.
☞ 검색 도우미 : Window Viewer (2012.11.8)
☞ [삭제] Window Guide (2013.3.15)
☞ 검색 도우미 : Windows iestart (2013.3.29)
☞ 검색 도우미 : addendum (ts) - 2.0.0.1 (2013.3.30)
☞ 검색 도우미 : Windows kwinstart (2013.5.27)