본문 바로가기

벌새::Analysis

검색 도우미 : winapp

반응형

인터넷 검색시 사용자 몰래 백그라운드 방식으로 추가적인 인터넷 검색을 시도하는 국내에서 제작된 winapp 광고 프로그램(SHA-1 : a9fb2ff5d651c7237157d9a3c99c35f165cc3159)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\winapp
C:\Users\(사용자 계정)\AppData\Roaming\winapp\adarea.dll
C:\Users\(사용자 계정)\AppData\Roaming\winapp\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\winapp\unins000.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe :: 시작 프로그램(winapp) 등록 파일, 메모리 상주 프로세스

"INDOIT Co., Ltd." 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\winapp" 폴더에 파일을 생성합니다.

 

참고로 기존의 "Winapp for Windows 버전 1.0.0.2" 광고 프로그램이 설치되던 폴더명과 이름이 동일한 변종으로 판단됩니다.

 

Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe" update] 파일(SHA-1 : 3e508bd0233b52ee8d3aec8081abd072b955ef50)을 시작 프로그램(winapp)으로 등록하여 자동 실행되어 메모리에 상주합니다.

winapp 광고 프로그램이 설치된 환경에서는 인터넷 검색시 "adarea.dll (SHA-1 : cd24537f1f1110bef5786e05e23aecdbd9a1efe6) + winapp.exe" 모듈을 통해 사용자 몰래 다음과 같은 인터넷 검색 활동을 자동으로 실행될 수 있습니다.

예를 들어 네이버(Naver) 검색을 통해 인터넷 검색을 시도할 경우 특정 광고 서버에 사용자 검색 키워드 값, Mac Address, 사용자 위치 정보를 전송하여 네이트(Nate) 검색 키워드 값을 받아와 백그라운드 방식으로 인터넷 검색을 시도합니다.

이를 통해 화면 상에는 표시되지 않는 다양한 검색 키워드 값을 통해 네이트(Nate) 검색 트래픽을 유발할 수 있습니다.

 

winapp 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 winapp.exe 프로세스를 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "winapp" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - LL1 = iAs/+BMr
 - LL2 = iAsught3
 - LL3 = lDl1fBM/
 - LLCD = 3a 20 ce 39 b9 93 e4 40
 - radarea = CZ0nDIqmDIqnDm
 - winapp = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - winapp = "C:\Users\(사용자 계정)\AppData\Roaming\winapp\winapp.exe" update
HKEY_CURRENT_USER\Software\winapp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

winapp 광고 프로그램은 사용자가 수행하지 않는 인터넷 검색 활동을 자동으로 수행하여 불필요한 트래픽을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형
  • winapp 깔고 보안인증 창 뜨지 않나요? 2015.06.17 17:02 댓글주소 수정/삭제 댓글쓰기

    안녕하세요.

    한가지 문의사항이 있어서 그러는데, 인두잇 이라는 Winapp 프로그램 분석해보려고 설치하고 백그라운드 작업 검사하려는데 "금융감독원 보안관련 인증절차" 창이 뜨면서 네이버 창이 먹통되더군요.

    아마도 보이는 네이버 창은 만들어진 가짜 사이트 창으로 보이는데요.

    혹시 벌새 님도 Winapp 설치 후에 "금융감독원 보안관련 인증절차" 창이 뜨거나 하는 현상이 나타나지 않았나요?

    • 일부 광고 프로그램은 서버 해킹으로 인해 악성 파일이 함께 유포가 이루어지고 있습니다.

      아마 해당 프로그램도 악성코드 유포에 악용되고 있는 듯 합니다.

    • 혹시 광고 설치 파일을 어디에서 받으셨는지 알려주실 수 있나요? 이 프로그램의 설치 파일로는 현재 확인되지 않습니다.