인터넷 검색 및 웹 사이트 접속시 다양한 광고창을 생성하며 특정 시점에서는 업데이트 기능을 통해 추가적인 추천 프로그램(제휴 프로그램) 설치를 유도할 수 있는 국내에서 제작된 WinProvider 광고 프로그램의 변종이 수집되어 정보를 공개해 드리겠습니다.
해당 프로그램은 유사한 기능을 제공하는 RCProvider, Windows RCProvider 광고 프로그램이 존재하므로 참고하시기 바랍니다.
■ WinProvider 변종 프로그램(wppwonrnqm.exe) 정보
파일 경로 |
C:\Program Files (x86)\WinProvider\334.dll |
MD5 |
851E3E28E675C93A31C983268EBE7993 |
진단명 |
a variant of Win32/Adware.Kraddare.GC (ESET) |
디지털 서명 |
God of Advertising Co.,Ltd |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\335.dll |
MD5 |
2184572AA5FD683C82E490F799570B6D |
진단명 |
a variant of Win32/Adware.Kraddare.GC (ESET) |
디지털 서명 |
God of Advertising Co.,Ltd |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\blgzi.dll |
MD5 |
E68E0573ED760C616B7818366EE66D2C |
진단명 |
Trojan.GenericKD.1939564 (BitDefender) |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\config_adwa.dll |
MD5 |
C9819F632F3F5ADB2EF518AF92DF257F |
진단명 |
PUP/Win32.SubShop (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\MWManagerM.dll |
MD5 |
099A0856B4F04B7F01C4019430802EA7 |
진단명 |
PUP/Win32.MWManager (AhnLab V3 365 Clinic) |
디지털 서명 |
The A MEDIA |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\rclick.dll |
MD5 |
492BEED462E6C70436889F71765A0C3A |
진단명 |
PUP/Win32.Toolbar (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
비고 |
실행 모듈 |
파일 경로 |
C:\Program Files (x86)\WinProvider\winprovider.exe |
MD5 |
5F5580C40ABC2F1BA2BBC89E27EB845B |
진단명 |
PUP/Win32.IntClient (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
파일 설명 |
winprovider.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\WinProvider\winprovidera.exe |
MD5 |
0971C1AA90B2E3D22765F01712D68EF5 |
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
디지털 서명 |
INSAFE |
파일 설명 |
winprovidera.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\WinProvider\winproviderb.exe |
MD5 |
515036CF4ED35621E550E1E7D1CE8247 |
진단명 |
Generic.4C0 (AVG) |
디지털 서명 |
INSAFE |
파일 설명 |
winproviderb.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\WinProvider\winproviderc.exe |
MD5 |
FD33E8E3779A6FE5D36A51161C0EE762 |
진단명 |
PUP/Win32.Helper (AhnLab V3 365 Clinic) |
파일 설명 |
winproviderc.exe |
비고 |
메모리 상주 프로세스 |
파일 경로 |
C:\Program Files (x86)\WinProvider\winproviders.exe |
MD5 |
2303141AAD794BABB03D6E29BD79CAF7 |
진단명 |
PUP/Win32.IntClient (AhnLab V3 365 Clinic) |
디지털 서명 |
INSAFE |
파일 설명 |
winproviders.exe |
비고 |
예약 작업(C:\Windows\Tasks\wppwonrnqs.job) 등록 파일 |
파일 경로 |
C:\Windows\wppwonrnqm.exe |
MD5 |
79DFFB6A71F12C6498812B7E65A26835 |
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
디지털 서명 |
INSAFE |
파일 설명 |
wppwonrnqm.exe |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wppwonrnqm |
비고 |
서비스(wppwonrnqm) 등록 파일 |
INSAFE 디지털 서명이 포함된 WinProvider 광고 프로그램은 "C:\Program Files (x86)\WinProvider" 폴더와 Windows 폴더 내에 각각의 파일을 생성하며, 다음과 같은 자동 실행 등록값을 기반으로 시스템 시작시 동작하도록 구성되어 있습니다.
- 서비스(wppwonrnqm) : C:\Windows\wppwonrnqm.exe
- 예약 작업(wppwonrnqs.job) : C:\Program Files (x86)\WinProvider\winproviders.exe
특히 서비스 항목에 등록되는 Windows 폴더 내에 생성되는 파일은 프로그램 설치시 특정 서버에서 winproviderm.exe 파일을 다운로드하여 변종에 따라 다양한 서비스 명과 파일명으로 생성될 수 있습니다.
이렇게 설치된 프로그램은 자동 실행되는 과정에서 프로그램 업데이트, 광고 구성값 체크 외에도 특정 부팅 시점에서는 업데이트 창 생성을 통해 유사한 기능을 가진 다양한 광고 프로그램 및 광고 프로그램 설치를 유도할 수 있는 배포 프로그램의 추가 설치를 유도할 수 있으므로 주의하시기 바랍니다.
광고 기능은 Internet Explorer 웹 브라우저 실행시 추가적인 광고 모듈 로딩을 통해 인터넷 검색, 웹 사이트 접속시 다양한 광고창 생성, 웹 브라우저 상단에 광고 툴바(Toolbar) 등의 동작이 포함되어 있을 것으로 추정됩니다.
해당 프로그램은 기본적으로 제어판에 등록된 WinProvider 삭제 항목을 이용하여 삭제할 수 있으며, 수동으로 프로그램 삭제가 필요한 경우에는 다음과 절차를 참고하여 제거하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "wppwonrnqm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 winprovider.exe, winprovidera.exe, winproviderb.exe, winproviderc.exe 프로세스를 찾아 모두 종료하시기 바랍니다.
(c) Internet Explorer 웹 브라우저를 종료한 상태에서 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files (x86)\WinProvider
- C:\Windows\Tasks\wppwonrnqs.job
- C:\Windows\wppwonrnqm.exe
WinProvider 광고 프로그램은 설치 및 실행시 가상 환경, 분석 도구 설치 여부를 체크하여 설치를 하지 않거나 광고 기능을 수행하지 않는 방식으로 분석을 방해하고 있습니다.
그러므로 다양한 변종을 가진 WinProvider 및 유사 광고 솔루션이 설치되지 않도록 사전 예방하는 방법이 있으므로 게시글을 참고하여 잘 활용해 보시기 바랍니다.