본문 바로가기

벌새::Analysis

검색 도우미 : Windows Conveniences

반응형

바탕 화면과 웹 브라우저의 배경색을 체크하여 우측 영역에 "Powered by cloudget" 광고 배너를 생성하며, 특정 시스템 부팅 과정에서 추가적인 파일 생성을 통한 구글 애드센스(Google AdSense) 팝업창을 생성할 수 있는 "Windows Conveniences" 검색 도우미 프로그램<SHA-1 : 9c19fe7ce9375f5c9fb2fdf300bccfa789a0b7f3 - AhnLab V3 : PUP/Win32.Winerspop.C238222 (VT : 1/54)>에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 기존에 유사한 기능을 가진 다양한 변종이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Conveniences
C:\Program Files\Windows Conveniences\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Conveniences\wscnvcs.dll
C:\Program Files\Windows Conveniences\wscnvcsp.exe
C:\Program Files\Windows Conveniences\wscnvcsr.exe :: 메모리 상주 프로세스
C:\Program Files\Windows Conveniences\wscnvcsv.exe :: 서비스(wscnvcsv32) 등록 파일

"Now Media Corp." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\Windows Conveniences" 폴더에 파일을 생성합니다.

"wscnvcsv32 (표시 이름 : Windows Conveniences Manager)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Conveniences\wscnvcsv.exe" 파일(SHA-1 : e52234e6aba3e05e3974c18dc46b44a49ea84a87)을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(wscnvcsv.exe)은 2분 동안 대기 후 업데이트 서버로부터 파일 버전 체크를 통해 일부 파일에 대한 패치가 진행됩니다.

C:\Program Files\Windows Conveniences\wscnvcs.dll

 - <업데이트 전> 1.0.6.5 버전 (SHA-1 : 98046113989aa19fccbecd2c32a83e5311fb4f77)

 - <업데이트 후> 1.0.6.6 버전 (SHA-1 : aa34f37b196803731f32413727495d5cefc8a335)

업데이트 완료 후 광고 기능을 수행하는 "C:\Program Files\Windows Conveniences\wscnvcsr.exe" 파일(SHA-1 : d1b24098bb7bc8b84ab5ad50dd44af2f4be0013d)을 로딩하여 광고 구성값 체크 및 추가적인 폴더(파일)를 생성합니다.

 

[추가 생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs
C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs\Cache
C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs\Cache\partnle6

C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs\Cache\partnle6\wscnvcsk.exe

 

추가 생성된 "C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs\Cache\partnle6" 폴더 내에는 "Powered by cloudget" 광고 배너 생성을 통한 이미지 파일이 저장되며, 특정 부팅 시점에서는 "C:\Users\(사용자 계정)\AppData\Roaming\wscnvcs\Cache\partnle6\wscnvcsk.exe" 파일을 임시 생성하여 바탕 화면에 구글 애드센스(Google AdSense) 광고 팝업창을 생성할 수 있습니다.(※ 테스트 당시에는 파일 생성 동작이 이루어지지 않았으며 생성 파일(wscnvcsk.exe)명은 추정입니다.)

 

구글 애드센스(Google AdSense) 광고 팝업창은 1일 1회 노출을 기본으로 하고 있으며, 특정 시간 조건을 만족하지 않을 경우에는 wscnvcsk.exe 파일 생성 및 팝업창은 노출되지 않습니다.

"Windows Conveniences" 광고 프로그램의 기본적인 광고 동작은 메모리에 상주하는 "wscnvcs.dll + wscnvcsr.exe" 광고 모듈을 통해 바탕 화면, 웹 브라우저의 배경색이 흰색인 경우 우측 사이드 영역에 다양한 "Powered by cloudget" 광고 배너를 지속적으로 노출할 수 있으며 특정 웹 사이트에서는 광고 노출을 제한하고 있습니다.

광고 동작 중지 및 프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 메모리에 상주하는 wscnvcsr.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "Windows Conveniences" 삭제 항목을 이용하여 제거할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\wscnvcs
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows Conveniences
HKEY_LOCAL_MACHINE\SOFTWARE\wscnvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscnvcsv32

 

"Windows Conveniences" 광고 프로그램이 생성하는 "Powered by cloudget" 광고 배너는 접속한 웹 사이트에서 제공하는 광고로 오해할 소지가 다분하며, 웹 사이트 접속시마다 광고 서버와 통신하는 문제로 속도 저하 등의 문제가 발생할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형