본문 바로가기

벌새::Analysis

제휴 프로그램으로 설치되는 "Web Companion" 해외 보안 솔루션

반응형

Lavasoft 해외 보안 업체는 과거 Ad-Aware 애드웨어(Adware) 제거 프로그램으로 유명하였으며 현재는 BitDefender 엔진이 추가된 무(유)료 백신을 제공하고 있습니다.

 

그러던 중 악성 URL 차단 및 웹 브라우저 보호 기능을 가진 "Ad-Aware Web Companion" 웹 보안 솔루션을 제작하여 배포가 이루어지고 있습니다.

 

문제는 배포 방식으로 다양한 소프트웨어 설치 과정에서 제휴 프로그램으로 추가되어 사용자의 부주의로 설치되는 문제가 발생하고 있습니다.

 

이런 문제는 보안 업체 솔루션의 배포 방식으로 이슈가 되었던 "AVG PC TuneUp" 프로그램처럼 사용자의 실수로 원치않게 설치되는 문제와 삭제에 어려움을 겪는 경우가 있는게 현실입니다.

 

이 글에서는 Ad-Aware Web Companion 프로그램의 배포 방식과 프로그램 삭제 이후에 발생하는 문제에 대해 살펴보도록 하겠습니다.

배포 방식을 살펴보면 정상적인 소프트웨어 설치 과정에서 "Ad-Aware Web Companion" 프로그램을 추천 프로그램으로 추가하여 설치를 유도하고 있습니다.

  • Install Ad-Aware Companion to improve your Internet protection :: 인터넷 보호 기능
  • Set and protect Yahoo! as my homepage, new tabs and default search engine on Internet Explorer, Firefox, and Chrome. :: 웹 브라우저의 Yahoo! 홈 페이지와 검색 공급자 설정 및 보호

일반적으로 프로그램 설치 과정에서 제휴 프로그램이 추가된 경우에는 "Typical Installation (Recommended) → Custom Installation (Advanced)" 설치 유형으로 전환한 후 체크 박스 모두를 해제할 경우 제휴 프로그램은 설치되지 않고 설치가 진행됩니다.

  • h**p://****.opencandy.com/p/1236/do/dh.exe (SHA-1 : 36b732c7ed8c5ca6139f881f5a71597af86f8482) - AhnLab V3 365 Clinic : PUP/Win32.OpenCandy.R156636 (VT : 6/55)

만약 정상적으로 설치가 진행될 경우 OpenCandy 광고 서버를 통해 Install Helper 파일(Dropper)을 다운로드하여 실행됩니다.

실행된 파일은 Lavasoft 보안 업체 서버에서 Web Companion Installer 파일(WcInstaller.exe)을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Roaming\OpenCandy\056B181050714515A469B42345202EC3\WcInstaller.exe" 파일로 생성 및 압축 해제를 통해 프로그램 설치를 진행합니다.

프로그램 설치시에는 기본적으로 관련 파일들을 ZIP 압축한 형태로 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\WebCompanion.zip"로 생성 및 압축 해제하여 다음과 같은 폴더에 설치합니다.

 

  • C:\Program Files\Lavasoft\Web Companion
  • C:\ProgramData\Lavasoft\Web Companion
  • C:\Windows\System32\config\systemprofile\AppData\Local\LavasoftTcpService
  • C:\Users\(사용자 계정)\AppData\Local\Lavasoft
  • C:\Users\(사용자 계정)\AppData\Roaming\Lavasoft\Web Companion
  • C:\Users\(사용자 계정)\AppData\Roaming\OpenCandy

Ad-Aware Web Companion 프로그램 설치 후에는 Internet Explorer 웹 브라우저의 기본 검색 공급자를 "Yahoo! (search.yahoo.com)"으로 변경을 시도합니다.

https://www.yahoo.com/?fr=vmn&type=vmn__webcompa__1_0__ya__hp_WCYID10099_swoc_campaign_150717__yaie

또한 Internet Explorer 웹 브라우저의 홈 페이지 주소를 야후(Yahoo!)로 자동 변경이 이루어집니다.

설치된 Ad-Aware Web Companion 프로그램은 기본적으로 부팅시 자동 실행되어 시스템 트레이 알림 아이콘 영역에 등록되어 웹 보호(Web Protection)을 통한 악성 웹 사이트 접속시 차단이 이루어지며, 웹 브라우저의 홈 페이지와 기본 검색 공급자 설정을 변경할 수 있습니다.

 

문제는 Ad-Aware Web Companion 프로그램을 사용자가 필요에 의해 설치한 것이 아닌 타 소프트웨어를 설치하는 과정에서 실수로 설치되었을 가능성이 있다는 점에서 불필요하게 실행되는 프로그램일 수 있습니다.

 

"Ad-Aware Web Companion" 프로그램 삭제 방법

C:\Program Files\Lavasoft\Web Companion\Application\WebCompanionInstaller.exe --uninstall

기본적으로 해당 프로그램은 제어판에 "Web Companion" 삭제 항목을 통해 제거할 수 있도록 지원하고 있습니다.

  • Restore my browser homepage settings :: 홈 페이지 설정 복원
  • Restore my browser search engine settings :: 검색 공급자 설정 복원

프로그램 제거시에는 프로그램 설치로 인해 변경된 홈 페이지 및 검색 공급자 설정을 설치 이전 상태로 복구해주도록 체크 박스에 체크를 하시고 삭제를 진행하시기 바랍니다.

이후 프로그램 삭제가 진행되는 과정에서 생성된 기본 검색 공급자 설정창에서는 "Yahoo! (search.yahoo.com) → (사용자 설정 검색 공급자)" 값으로 변경하시기 바랍니다.

프로그램 삭제가 완료된 후에는 Internet Explorer 웹 브라우저의 추가 기능 관리 메뉴를 실행하여 검색 공급자 항목에 추가되어 있는 "Yahoo!" 항목을 선택하여 제거 버튼을 클릭하시면 최종적으로 제거됩니다.

 

문제는 위와 같이 프로그램을 정상적으로 삭제한 이후에도 Ad-Aware Web Companion 프로그램의 보안 기능 수행을 목적으로 등록된 제가되지 않은 Layered Service Provider(LSP) 관련 파일 및 등록값으로 인해 게임(Game) 등을 하는 과정에서 오류가 발생한다는 보고가 있습니다.

실제로 Ad-Aware Web Companion 프로그램을 정상적으로 제거한 후 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries" 영역을 살펴보면 x32비트 운영 체제 기준으로 "C:\Windows\System32\LavasoftTcpService.dll" 파일이 네트워크 영역에 추가되어 있는 부분을 발견할 수 있습니다.(※ x64비트 환경에서는 "C:\Windows\System32\LavasoftTcpService64.dll" 파일로 존재합니다.)

 

그러므로 Sysinternals Autoruns 프로그램을 다운로드하여 Autoruns.exe 파일을 "관리자 권한으로 실행"하여 "Winsock Providers" 탭에 표시된 다음의 값이 존재할 경우에는 마우스 우클릭을 통해 등록값을 삭제하시기 바랍니다.(※ 다른 정상적인 값을 삭제할 경우 인터넷이 안될 수 있으므로 매우 주의하시기 바랍니다.)

 

  • LavasoftLSP
  • LavasoftLSP over [MSAFD Tcpip [TCP/IP]]
  • LavasoftLSP over [MSAFD Tcpip [TCP/IPv6]]

해당 값을 삭제한 후에는 Windows 재부팅 이후 다음의 폴더(파일)를 찾아서 삭제하시기 바랍니다.

 

  • C:\Windows\System32\config\systemprofile\AppData\Local\LavasoftTcpService
  • C:\Windows\System32\LavasoftTcpService.dll 또는 LavasoftTcpService64.dll
  • C:\Windows\System32\LavasoftTcpServiceOff.ini
  • C:\Users\(사용자 계정)\AppData\Roaming\OpenCandy

그 외에 레지스트리 편집기(regedit)를 실행하여 삭제되지 않은 시작 프로그램 등록값을 삭제하시기 바랍니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Web Companion = C:\Program Files\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize

 

위와 같은 제휴 프로그램 방식으로 설치되는 Ad-Aware Web Companion 프로그램은 설치 과정에서 어떠한 화면 정보를 표시하지 않으므로 사용자는 어떻게 설치되었는지 제대로 인지하지 못할 수 있으며, 프로그램 삭제 이후에도 네트워크 영역에 문제를 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형