대표적인 압축 프로그램으로 유명한 WinZIP 공식 사이트에서 제공하는 설치 파일을 다운로드하는 과정에서 일부 해외 보안 제품에서 진단되는 이슈가 있는 것을 확인할 수 있습니다.
- h**p://download.winzip.com/****/winzip19-home.exe (SHA-1 : ea5bcd41d7e31de9350bd2d60498503a3d14ad16) - Avira : Adware/InstallCore.906024, ESET : a variant of Win32/InstallCore.TS (VT : 6/54)
대표적으로 Avira, ESET 보안 제품에서 애드웨어(Adware) 계열로 진단이 이루어지고 있기에 무엇이 문제인지 확인해 보도록 하겠습니다.
WinZIP 설치 파일을 이용하여 프로그램 설치를 진행할 경우 SweetPage, MyPC Backup 2종의 제휴 프로그램이 포함되어 있으며, 사용자가 "Decline" 버튼을 클릭하지 않고 설치를 진행할 경우 자동으로 설치가 이루어집니다.
이 글에서는 MyPC Backup 프로그램은 이전에 분석한 내용이 있으므로 홈 페이지를 변경하는 SweetPage 광고 프로그램에 대해 자세하게 다루도록 하겠습니다.(※ 내용 분량상 XTab 광고 프로그램은 차후 자세히 다루도록 하겠습니다.)
- sweet-page uninstall : "www.sweet-page.com" 홈 페이지, 기본 검색 공급자 변경
- WindowsMangerProtect : 사용자 몰래 설치되어 삭제를 지원하지 않는 악성 프로그램
- XTab : Internet Explorer 웹 브라우저의 새 탭 오픈시 "Quick Start" 연결을 하는 해외 광고 프로그램
SweetPage 광고 프로그램을 설치할 경우 추가적으로 사용자 몰래 2종의 광고 프로그램을 몰래 설치하며 이런 문제로 인하여 일부 보안 제품에서 WinZIP 압축 프로그램 자체를 진단하는 것으로 판단됩니다.
설치 과정을 살펴보면 WinZIP 설치 파일은 SweetPage 광고 프로그램 설치를 목적으로 "Shulan Hou" 디지털 서명이 포함된 "C:\Users\(사용자 계정)\AppData\Local\Temp\is360511915\2506599E_stp\Dec29_cor_sweet-page.exe" 파일<SHA-1 : 47e69fa64b111927e02c2ed3c843c356b1c61237 - ESET : a variant of Win32/ELEX.AZ (VT : 5/56)>을 압축 해제하여 실행됩니다.
실행된 파일은 특정 서버로부터 1.zip 압축 파일을 다운로드하여 임시 폴더에 압축 해제한 후 "Beijing Baofeng Technology Co., Ltd." 디지털 서명이 포함된 BaofengUpdate.exe 파일<SHA-1 : 9b2489e1838bce9f5f7a6f612d9a9640b74c9179 - Malwarebytes : PUP.Optional.StartPage.A (VT : 1/56)> 실행을 통해 "sweet-page uninstall" 광고 프로그램 설치 및 다음과 같은 추가 다운로드를 시도합니다.
- STab_Down.exe (SHA-1 : 963b51973b9e6aa39a4fd8a78aacdfe5964b20ed) : "Taiming Li" 디지털 서명 포함, XTab 광고 프로그램 설치 파일 드랍퍼(Dropper)
- wpm_v20.0.0.1337.exe : WindowsMangerProtect 애드웨어(Adware) 설치
추가적으로 다운로드된 2.zip 압축 파일은 임시 폴더에 압축 해제를 통해 2종의 광고 프로그램을 사용자 동의없이 자동으로 설치할 수 있으며, 이 글에서는 WindowsMangerProtect 애드웨어(Adware) 설치에 대해서만 다루도록 하겠습니다.
1. "sweet-page uninstall" 광고 프로그램 정보
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\294.json
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\images
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\MessageBox.xml
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\un.ini
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\uninstallDlg2.xml
C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\UninstallManager.exe :: "sweet-page uninstall" 프로그램 삭제 파일
"sweet-page uninstall" 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\sweet-page" 폴더에 파일을 생성합니다.
- 홈 페이지 : h**p://www.sweet-page.com/?type=hp&ts=1420368053&from=cor&uid=531364863_132775_7236999C
- 기본 검색 공급자(sweet-page) : h**p://www.sweet-page.com/web/?type=ds&ts=1420368053&from=cor&uid=531364863_132775_7236999C&q={searchTerms}
프로그램이 설치된 환경에서는 Internet Explorer, Google Chrome, Mozilla Firefox 웹 브라우저의 홈 페이지와 기본 검색 공급자를 "www.sweet-page.com" 관련 주소로 변경할 수 있습니다.
■ "sweet-page uninstall" 광고 프로그램 삭제 방법
- C:\Users\(사용자 계정)\AppData\Roaming\sweet-page\UninstallManager.exe -ptid=cor
프로그램 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램을 통해 "sweet-page uninstall" 삭제 항목을 이용하여 삭제할 수 있습니다.
삭제 과정에서 제시되는 체크 박스에서는 반드시 모두 항목(Homepage, Default Search, IE Newtab, Firefox Newtab)에 체크를 한 후 "continue" 버튼을 클릭하여 삭제를 진행하시기 바라며, 프로그램 삭제 후에는 Google Chrome 웹 브라우저 사용자의 경우 다음과 같은 설정값을 확인하여 사용자가 원하는 설정으로 변경하시기 바랍니다.
(a) 설정(chrome://settings) 페이지의 "시작 그룹 → 특정 페이지 또는 페이지 집합 열기 → 페이지 설정" 항목에 등록된 "sweet-page" 값이 등록되어 있는 경우 삭제한 후 "새 탭 페이지 열기"로 변경하시기 바랍니다.
(b) 설정(chrome://settings) 페이지의 "모양 → 홈 버튼 표시(체크)" 항목에서 홈 페이지 영역에 "www.sweet-page.com" URL 주소가 존재할 경우 삭제한 후 "새 탭 페이지 사용"으로 변경하시기 바랍니다.
(c) 설정(chrome://settings) 페이지의 "검색 → 검색엔진 관리..." 메뉴를 실행하여 기본 검색 설정에 "sweet-page" 값이 기본으로 설정되어 있는 경우 삭제한 후 사용자가 원하는 검색 엔진을 기본 설정하시기 바랍니다.
(d) 레지스트리 편집기(regedit)를 실행하여 "sweet-page uninstall" 광고 프로그램 설치로 인해 추가 또는 변경된 레지스트리 값을 수정하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
+ Default_Page_URL = h**p://www.sweet-page.com/?type=hp&ts=1420368053&from=cor&uid=531364863_132775_7236999C
- Start Page = (사용자 지정 홈 페이지 URL 주소) :: 변경 전
- Start Page = h**p://www.sweet-page.com/?type=hp&ts=1420368053&from=cor&uid=531364863_132775_7236999C :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
+ DoNotAskAgain = bing.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
- Default_Page_URL = h**p://go.microsoft.com/fwlink/p/?LinkId=255141 :: 변경 전
- Default_Page_URL = h**p://www.sweet-page.com/?type=hp&ts=1420368053&from=cor&uid=531364863_132775_7236999C :: 변경 후
- Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 :: 변경 전
- Default_Search_URL = h**p://www.sweet-page.com/web/?type=ds&ts=1420368053&from=cor&uid=531364863_132775_7236999C&q={searchTerms} :: 변경 후
- Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 :: 변경 전
- Search Page = h**p://www.sweet-page.com/web/?type=ds&ts=1420368053&from=cor&uid=531364863_132775_7236999C&q={searchTerms} :: 변경 후
- Start Page = h**p://go.microsoft.com/fwlink/p/?LinkId=255141 :: 변경 전
- Start Page = h**p://www.sweet-page.com/?type=hp&ts=1420368053&from=cor&uid=531364863_132775_7236999C :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\sweet-pageSoftware
HKEY_LOCAL_MACHINE\SOFTWARE\sweet-pageSoftware\sweet-pagehp
2. WindowsMangerProtect 프로그램 정보
WindowsMangerProtect 광고 프로그램은 기본적으로 사용자 몰래 설치되는 애드웨어(Adware)이며, 변종에 따라서는 일부 제어판에 "WindowsMangerProtect20.0.0.502, WindowsMangerProtect20.0.0.1013, WindowsMangerProtect20.0.0.1064, WindowsMangerProtect20.0.0.1270" 등의 다양한 버전으로 등록될 수 있습니다.
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe :: 서비스(WindowsMangerProtect) 등록 파일, 메모리 상주 프로세스
C:\ProgramData\WindowsMangerProtect\update
C:\ProgramData\WindowsMangerProtect\update\conf
C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe
- SHA-1 : 9df3638ee93ab2db89a89ac6b67bf088dc64416b
- AhnLab V3 : Adware/Win32.Bundler (VT : 17/56)
WindowsMangerProtect 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\ProgramData\WindowsMangerProtect" 폴더에 파일을 생성합니다.
"WindowsMangerProtect (표시 이름 : WindowsMangerProtect Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service" 파일을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.
실행된 서비스 파일(ProtectWindowsManager.exe)은 특정 서버에서 프로그램 버전 체크 및 업데이트 정보를 확인하며, 이를 통해 특정 시점에서는 추가적인 제휴 프로그램 정보가 등록된 경우 "C:\ProgramData\WindowsMangerProtect\update\update.exe" 파일 생성 및 실행을 통해 설치와 관련된 동작을 수행할 것으로 추정됩니다.
■ WindowsMangerProtect 프로그램 삭제 방법
사용자 몰래 설치된 WindowsMangerProtect 프로그램은 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.
(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 다음의 명령어를 순서대로 입력 및 실행하여 서비스 프로세스 종료 및 서비스 레지스트리 값을 자동으로 삭제하시기 바랍니다.
- sc stop "WindowsMangerProtect"
- sc delete "WindowsMangerProtect"
(b) "C:\ProgramData\WindowsMangerProtect" 폴더를 찾아 삭제하시기 바랍니다.
(c) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값이 존재할 경우 삭제하시기 바랍니다.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WindowsMangerProtect
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\Application\WindowsMangerProtect
위와같이 매우 유명한 WinZIP 압축 프로그램 설치 과정에서 포함된 제휴 프로그램(Bundle)이 함께 설치되는 과정에서 사용자 몰래 다수의 광고 프로그램을 설치하는 경우가 존재하므로 사용자는 프로그램 설치시 부가적으로 설치될 수 있는 구성 요소에 대해 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.