바탕 화면과 웹 브라우저의 우측 영역에 "Powered by cloudget" 광고 배너를 생성하며, 특정 시점에서 Windows 부팅시 구글 애드센스(Google AdSense) 광고 팝업창을 생성하는 검색 도우미 "Windows Inforetrieval" 프로그램<SHA-1 : e2795b28ddcd01363aa3d266766926d6857624fc - AhnLab V3 : PUP/Win32.Generic.C528289 (VT : 4/53)>에 대해 살펴보도록 하겠습니다.
해당 광고 프로그램과 연관된 다양한 변종 프로그램이 기존부터 존재하므로 참고하시기 바랍니다.
C:\Program Files\Windows Inforetrieval
C:\Program Files\Windows Inforetrieval\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Inforetrieval\wsifvel.dll
C:\Program Files\Windows Inforetrieval\wsifvelp.exe
C:\Program Files\Windows Inforetrieval\wsifvelr.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Inforetrieval\wsifvelv.exe :: 서비스(wsifvel32) 등록 파일
C:\Program Files\Windows Inforetrieval\uninstall.exe
- SHA-1 : 369b3d6ee6311eca9f78c6d9d7d8dcbab6ec6128
- AhnLab V3 : PUP/Win32.Generic.C528289 (VT : 2/54)
"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Inforetrieval" 폴더에 파일을 생성합니다.
"wsifvel32 (표시 이름 : Windows Inforetrieval Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Inforetrieval\wsifvelv.exe" 파일(SHA-1 : c5ecbafeee47d8864d4718152a4ba5461063a230)을 자동 실행하도록 구성되어 있습니다.
자동 실행된 서비스 파일(wsifvelv.exe)은 2분이 경과하면 특정 업데이트 서버에서 파일 버전 체크를 통한 업데이트를 수행할 수 있습니다.
- C:\Program Files\Windows Inforetrieval\uninstall.exe :: 1.0.0.2 버전 (SHA-1 : 18c42ad58ae33dba408292865f4166011414b992)
- C:\Program Files\Windows Inforetrieval\wsifvel.dll :: 1.0.6.5 버전 (SHA-1 : 60b66e1496f65b9cd707ae0fd2dba95ec9e008bd)
이후 광고 기능을 수행하는 "C:\Program Files\Windows Inforetrieval\wsifvelr.exe" 파일(SHA-1 : f86f686210737c2a634dfefc82583d1ded6e7ac4)을 로딩하여 광고 구성값 체크 및 다음과 같은 추가적인 폴더(파일)를 생성합니다.
C:\Users\(사용자 계정)\AppData\Roaming\wsifvel
C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache
C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache\szpart3
C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache\szpart3\wsifvelk.exe
기본적으로 "C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache\szpart3" 폴더 내에는 "Powered by cloudget" 광고 배너 이미지 파일 저장이 이루어지며, 특정 시점에서는 구글 애드센스(Google AdSense) 광고 팝업창 생성 기능을 하는 "C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache\szpart3\wsifvelk.exe" 파일(SHA-1 : 19ae23d6b8fa725f9884c6fbfe3619a7dcf778b3)을 임시 생성합니다.(※ 해당 파일은 Windows 부팅시마다 매번 생성되지 않으며 최소 1일 이상 경과 후 재생성될 수 있을 것으로 추정됩니다.)
이를 통해 Windows 부팅 과정에서 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창이 생성될 수 있으며, 사용자가 팝업창을 종료할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\wsifvel\Cache\szpart3\wsifvelk.exe" 파일도 자동 삭제 처리됩니다.
"Windows Inforetrieval" 광고 프로그램의 핵심 광고 기능은 메모리에 상주하는 "wsifvel.dll + wsifvelr.exe" 광고 모듈을 이용하여 바탕 화면과 웹 브라우저의 우측 영역 배경색이 흰색인 경우에 다양한 "Powered by cloudget" 광고 배너가 노출되도록 제작되어 있습니다.
광고 기능 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 wsifvelv.exe 프로세스를 찾아 종료하시기 바랍니다.
그 후 제어판에 등록된 "Windows Inforetrieval" 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wsifvel32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Inforetrieval
HKEY_LOCAL_MACHINE\SOFTWARE\wsifvel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wsifvel32
"Windows Inforetrieval" 광고 프로그램이 생성하는 광고 배너를 접속한 웹 사이트에서 제공하는 것으로 오해를 유발하기에 광고 프로그램 설치 여부를 제대로 인지하지 못할 수 있으므로 주의하시기 바랍니다.