울지않는벌새 : Security, Movie & Society

검색 도우미 : winapp

벌새::Analysis

인터넷 검색시 사용자 몰래 백그라운드 방식으로 추가적인 인터넷 검색을 시도하는 국내에서 제작된 winapp 광고 프로그램(SHA-1 : a9fb2ff5d651c7237157d9a3c99c35f165cc3159)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\winapp
C:\Users\(사용자 계정)\AppData\Roaming\winapp\adarea.dll
C:\Users\(사용자 계정)\AppData\Roaming\winapp\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\winapp\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe :: 시작 프로그램(winapp) 등록 파일, 메모리 상주 프로세스

"INDOIT Co., Ltd." 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\winapp" 폴더에 파일을 생성합니다.

참고로 기존의 "Winapp for Windows 버전 1.0.0.2" 광고 프로그램이 설치되던 폴더명과 이름이 동일한 변종으로 판단됩니다.

 

Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe" update] 파일(SHA-1 : 3e508bd0233b52ee8d3aec8081abd072b955ef50)을 시작 프로그램(winapp)으로 등록하여 자동 실행되어 메모리에 상주합니다.

winapp 광고 프로그램이 설치된 환경에서는 인터넷 검색시 "adarea.dll (SHA-1 : cd24537f1f1110bef5786e05e23aecdbd9a1efe6) + winapp.exe" 모듈을 통해 사용자 몰래 다음과 같은 인터넷 검색 활동을 자동으로 실행될 수 있습니다.

예를 들어 네이버(Naver) 검색을 통해 인터넷 검색을 시도할 경우 특정 광고 서버에 사용자 검색 키워드 값, Mac Address, 사용자 위치 정보를 전송하여 네이트(Nate) 검색 키워드 값을 받아와 백그라운드 방식으로 인터넷 검색을 시도합니다.

이를 통해 화면 상에는 표시되지 않는 다양한 검색 키워드 값을 통해 네이트(Nate) 검색 트래픽을 유발할 수 있습니다.

 

winapp 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 winapp.exe 프로세스를 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "winapp" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - LL1 = iAs/+BMr
 - LL2 = iAsught3
 - LL3 = lDl1fBM/
 - LLCD = 3a 20 ce 39 b9 93 e4 40
 - radarea = CZ0nDIqmDIqnDm
 - winapp = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winapp = "C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe" update
HKEY_CURRENT_USER\Software\winapp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

winapp 광고 프로그램은 사용자가 수행하지 않는 인터넷 검색 활동을 자동으로 수행하여 불필요한 트래픽을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.