울지않는벌새 : Security, Movie & Society

검색 도우미 : WinsearchOpen

벌새::Analysis

인터넷 검색시 열린 주소창 검색(dns3.ktguide.com) 연결 및 추가적인 광고 기능을 가진 프로그램 설치 기능을 가진 국내에서 제작된 WinsearchOpen 검색 도우미 프로그램<SHA-1 : 18a41329820a7806f1304661f6e67ff51c9dc941 - AhnLab V3 : PUP/Win32.Helper.C477615 (VT : 38/54)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2014년 4월 21일경부터 유포가 이루어진 것으로 보이며, 현재는 정상적으로 동작하지 않는 것으로 판단됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WinsearchOpen
C:\Program Files\WinsearchOpen\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\WinsearchOpen\Uninstall.ini
C:\Program Files\WinsearchOpen\winsearchopen.dll :: BHO 등록 파일
C:\Program Files\WinsearchOpen\winsearchopen.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\WinsearchOpen\winsearchopen.dll
 - SHA-1 : f660fa9b6bcd183301c76d52195f2e3fee124875
 - BitDefender : Gen:Variant.Adware.Kraddare.8 (VT : 27/54)

 

C:\Program Files\WinsearchOpen\winsearchopen.exe
 - SHA-1 : 9fe649b7b864c9bec863df9e2526a5b2d7009285
 - avast! : Win32:Downloader-UHH [PUP] (VT : 4/54)

"OCEAN INC Co.,Ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\WinsearchOpen" 폴더에 파일을 생성합니다.

 

이름

 winsearchopenpg.winsearchopen

게시자

 OCEAN INC Co.,Ltd.

유형

 브라우저 도우미 개체

CLSID

 {B6E1AB54-1139-4573-A1B9-AC45852E861E}

파일

 C:\Program Files\WinsearchOpen\winsearchopen.dll

 

해당 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 "winsearchopenpg.winsearchopen" 브라우저 도우미 개체(BHO) 항목을 추가하여 "C:\Program Files\WinsearchOpen\winsearchopen.dll" 파일을 로딩합니다.

  • h**p://121.**.93.**/down/winadup.exe (SHA-1 : 6faa4822bd2a4609ce0246ac3c915e7ca86fb308) - Symantec : Trojan.ADH.2 (VT : 13/53)

이를 통해 특정 IP 서버로부터 구성값 정보를 체크하여 winopenhelp 프로그램을 사용자 몰래 다운로드 및 설치를 수행할 수 있습니다.

 

또한 인터넷 검색 키워드 값을 참조하여 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고창을 생성할 수 있습니다.

 

그 외에도 Windows 시작시 "C:\Program Files\WinsearchOpen\winsearchopen.exe" 파일을 시작 프로그램으로 등록하여 자동 실행 및 메모리에 상주할 수 있을 것으로 추정됩니다.(※ 현재는 시작 프로그램 등록이 이루어지지 않고 있습니다.)

만약 정상적으로 winsearchopen.exe 파일이 동작한다면 Internet Explorer 웹 브라우저를 이용한 인터넷 검색시 열린 주소창 검색(dns3.ktguide.com)으로 연결될 수 있을 것으로 추정됩니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "WinsearchOpen" 삭제 항목을 이용하여 제거할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\WinsearchOpen
  • C:\Program Files\WinsearchOpen\winsearchopen.dll
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{621EFB36-55BE-4538-B50B-4C91FEED813A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8C1CD341-0CCF-4FD1-AE3A-77A4D27DC737}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchopenpg.winsearchopen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WinsearchOpen

 

WinsearchOpen 광고 프로그램은 다운로드 기능을 통해 유사한 기능을 가진 변종 광고 프로그램을 추가 설치할 수 있으며, 인터넷 검색시 원치않는 광고로 불편을 유발할 수 있으므로 주의하시기 바랍니다.