본문 바로가기

벌새::Analysis

검색 도우미 : wisepopup version 1.1

인터넷 검색시 광고창 생성 행위가 예상되는 국내에서 제작된 "wisepopup version 1.1" 광고 프로그램<SHA-1 : 41a8c6f632918fcc324f7d3ffc7b8c7d71932c12 - Hauri ViRobot : Trojan.Win32.A.Crypt.352264[h] (VT : 16/55)>에 대해 살펴보도록 하겠습니다.

 

해당 프로그램은 2013년 중하반기경부터 배포된 것으로 추정되며 현재는 업데이트 및 광고 기능 일체가 죽은 상태입니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\wisepopup
C:\Program Files\wisepopup\unins000.dat
C:\Program Files\wisepopup\unins000.exe :: 프로그램 삭제 파일
C:\Program Files\wisepopup\wisepopup.exe :: 메모리 상주 프로세스
C:\Program Files\wisepopup\wisepopupUpdate.exe :: 시작 프로그램(wisepopupUpdate) 등록 파일
C:\Program Files\wisepopup\wisepopupVer.txt
C:\Windows\System32\wisepopupDell.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\wisepopup\wisepopupUpdate.exe
 - SHA-1 : 11c4c8996368e2802b76665aaeb13813fa0b333b
 - AhnLab V3 365 Clinic : PUP/Win32.WisePopup.C231534 (VT : 18/55)

WISEONNET 디지털 서명이 포함된 "wisepopup version 1.1" 광고 프로그램은 "C:\Program Files\wisepopup" 폴더에 주요 파일을 생성합니다.

 

Windows 시작시 "C:\Program Files\wisepopup\wisepopupUpdate.exe" 파일을 시작 프로그램(wisepopupUpdate)으로 등록하여 자동 실행되어 다음과 같은 추가적인 프로그램 업데이트를 진행할 수 있습니다.

  • h**p://pop.wise**.net/update_file/1/wisepopupVer.dat
  • h**p://pop.wise**.net/update_file/1/vbruntimes.exe
  • h**p://pop.wise**.net/update_file/1/wisepopup.exe
[추가 생성/변경 파일 등록 정보]

 

C:\Program Files\wisepopup\vbruntimes.exe

C:\Program Files\wisepopup\wisepopup.exe

C:\Program Files\wisepopup\wisepopupVer.dat
C:\Program Files\wisepopup\wisepopupAgree.txt

 

[파일 진단 정보]

 

C:\Program Files\wisepopup\wisepopup.exe
 - SHA-1 : e4823b1c4bf5c4cdad13973b5e83cd8200cee3a0
 - nProtect : Adware/W32.Agent.139264

업데이트 패치 후 광고 기능을 수행하는 wisepopup.exe 파일을 메모리에 상주할 경우 특정 서버에서 광고 구성값 정보를 받아올 수 있으며, 테스트 당시에는 관련 정보 확인이 불가능한 상태입니다.

 

만약 정상적으로 "wisepopup version 1.1" 광고 프로그램이 동작할 경우에는 특정 검색 키워드 값을 이용하여 자동으로 광고창이 생성될 수 있을 것으로 추정됩니다.

 

"wisepopup version 1.1" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 wisepopup.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "wisepopup version 1.1" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

(c) 레지스트리 편집기(regedit)를 실행하여 자동으로 삭제되지 않은 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - wisepopupUpdate = C:\Program Files\wisepopup\wisepopupUpdate.exe

"wisepopup version 1.1" 광고 프로그램은 광고 기능이 전혀 동작하지 않는 죽은 프로그램이므로 여전히 설치되어 있는 경우에는 반드시 삭제하시기 바랍니다.