본문 바로가기

벌새::Analysis

검색 도우미 : INIWeblink - wblinkies.exe

반응형

인터넷 검색시 다양한 광고창을 생성, 시스템 트레이 알림 아이콘 상단에 팝업창 생성, 열린 주소창 검색(dns3.ktguide.com) 오픈 등의 다양한 광고 기능을 수행하는 INIWeblink 광고 프로그램<SHA-1 : c120756190e20f096ad24bff588a77aa651a2b6a - BitDefender : Gen:Variant.Adware.Symmi.36424 (VT : 37/55)>의 변종에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 2013년 초부터 타겟키워드(TargetKeyword)라는 이름으로 지속적으로 배포가 이루어지고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\weblink
C:\Users\(사용자 계정)\AppData\Local\weblink\searchopen3.dll
C:\Users\(사용자 계정)\AppData\Local\weblink\wblinkies.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\weblink\weblkun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\weblink\windowstab.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\weblink\wblinkies.exe
 - SHA-1 : babf614e54c3c2fef6c675c34b2110a79ef56ab6
 - AhnLab V3 : PUP/Win32.WebLink.R87398 (VT : 23/55)

 

C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe
 - SHA-1 : c1f68d9130bf4b5ffb929486efaaf424621d95ec
 - AVG : Downloader.Agent2.BSAK (VT : 40/55)

 

C:\Users\(사용자 계정)\AppData\Local\weblink\weblkun.exe
 - SHA-1 : f6d95c30e05d6f895e8f80f0355b28a25737e37f
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.it (VT : 34/55)

"DBS Media Co.,Ltd" 디지털 서명이 포함된 INIWeblink 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\weblink" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 파일(weblinkup.exe)은 1분이 경과하면 업데이트 기능을 통해 파일을 체크한 후 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\weblink\wblinkies.exe" 파일을 로딩하여 메모리에 상주시킵니다.

  • searchopen3.dll (SHA-1 : db70d0c1620bbd972fcca9952191ec076366883d)
  • windowstab.dll (SHA-1 : d34160c3f6a19281cbe3635394c71ddd608bc719)

실행된 파일(wblinkies.exe)은 리소스 내에 존재하는 2종의 광고 모듈을 압축 해제하여 파일을 생성하며, 만약 광고 모듈이 삭제 처리될 경우 부팅시마다 자동으로 재생성합니다.

이를 통해 메모리에 상주하는 wblinkies.exe 프로세스 내에 searchopen3.dll, windowstab.dll 광고 모듈이 삽입되어 다음과 같은 다양한 광고 동작을 수행할 수 있습니다.

 

1. searchopen3.dll 광고 모듈 기능

Windows 부팅 후 일정 시간이 경과하면 시스템 트레이 알림 아이콘 상단에 광고 팝업창을 생성할 수 있습니다.

또한 인터넷 검색 키워드 값을 참조하여 열린 주소창 검색(dns3.ktguide.com)을 자동으로 오픈할 수 있습니다.

 

2. windowstab.dll 광고 모듈 기능

WindowsTab 광고 계열의 windowstab.dll 광고 모듈은 새 탭 및 검색 공급자 관련 광고 기능을 수행할 수 있습니다.

Internet Explorer 웹 브라우저를 실행하는 과정에서 사용자가 지정한 홈 페이지 이외에 "about-tab.com" 광고 서버를 경유하여 11번가 새 탭을 자동으로 생성할 수 있습니다.

또한 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드 값을 입력하여 검색시 기본 검색 공급자 연결을 가로채기하여 "muuk.co.kr/app/windowstab/windowstab_11st.php" 광고 서버를 경유하여 11번가로 연결을 시도할 수 있습니다.

 

3. 인터넷 검색시 광고창 생성

그 외에도 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창이 자동으로 생성되어 불편을 유발할 수 있습니다.

 

4. 광고 기능 중지 및 프로그램 삭제 방법

 

해당 광고 기능의 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 wblinkies.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "INIWeblink" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 생성 레지스트리 등록 정보를 참조하여 제거되지 않은 값을 찾아 직접 삭제해 주시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - iniweblink = C:\Users\(사용자 계정)\AppData\Local\weblink\weblinkup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\INIWebLink uninstall
HKEY_CURRENT_USER\Software\mopop
HKEY_CURRENT_USER\Software\weblink
HKEY_CURRENT_USER\Software\WindowsTab2

 

INIWeblink 광고 프로그램은 외부의 다양한 광고 모듈을 포함하여 웹 브라우저를 사용하는 과정에서 다양한 광고창 생성 및 검색 결과를 왜곡할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형