울지않는벌새 : Security, Movie & Society

검색 도우미 : WindowMix

벌새::Analysis

인터넷 검색시 광고창 생성 및 백그라운드 방식으로 네이트(Nate) 검색을 수행하는 국내에서 제작된 WindowMix 광고 프로그램에 대해 살펴보도록 하겠습니다.

설치 과정을 살펴보면 배포 파일<SHA-1 : 6f159bf06889fc35164cf5349be93b26212e864d - Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VT : 8/55)> 실행을 통해 특정 서버에서 설치 파일을 다운로드하여 "C:\Users\(사용자 계정)\AppData\Local\Temp\Windowmix_setup.exe" 파일<SHA-1 : 14a803fdb85f736fd3fe10a64de39aa403b36d0d - ESET : a variant of Win32/Adware.Winggo.AE (VT : 7/56)>로 생성하여 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowMix
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\Address.dll
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\vtshare.dll
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\Windowmix.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\WindowmixUninstall.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\WindowmixUp.exe :: 시작 프로그램(WindowmixUpdate) 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\WindowmixUpch.exe
C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\windowtime.dt

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\Address.dll
 - SHA-1 : 83964f6de9b97e638a828d179ba12a5945892034
 - ESET : a variant of Win32/Adware.Winggo.AE (VT : 7/56)

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\vtshare.dll
 - SHA-1 : 70f77c1ee2eee0f60549328429131baa3fa8f37c
 - AVG : Generic.5FF (VT : 5/56)

 

C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\Windowmix.exe
 - SHA-1 : 69b363f1c4884589bdae21bbac2a59f8018f0ecb
 - Avira : TR/ATRAPS.Gen (VT : 3/55)

"DOTPITCH.INC" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\WindowMix" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\WindowmixUp.exe" 파일(SHA-1 : ae0ef8906a0b45c30ce358d4f404c9436ffa43fd)을 시작 프로그램(WindowmixUpdate)으로 등록하여 자동 실행되도록 구성되어 있으며, 이를 통해 프로그램 버전 체크를 통한 업데이트 및 광고 구성값 체크 후 광고 기능을 수행하는 Windowmix.exe 파일을 메모리에 상주하도록 구성되어 있습니다.

  • C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\Address.dll :: Internet Explorer 웹 브라우저 주소 표시줄 광고 모듈
  • C:\Users\(사용자 계정)\AppData\Roaming\WindowMix\vtshare.dll :: 인터넷 검색시 광고창 생성 광고 모듈

실행된 Windowmix.exe 파일은 2종의 광고 모듈(Address.dll, vtshare.dll)을 로딩하며, 특히 vtshare.dll 파일은 헝그리앱(HungryApp) 광고창 생성으로 유명한 LuckyTool 악성 광고 프로그램에서 확인되는 yssoft 디지털 서명이 포함되어 있습니다.

대표적인 광고 행위를 살펴보면 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드 입력을 통해 인터넷 검색을 시도할 경우 Bing 검색(기본값) 결과를 가로채는 방식으로 네이트(Nate)/다음(Daum) 검색 결과로 연결됩니다.

 

특히 해당 인터넷 검색 행위는 사용자가 네이버(Naver) 검색을 시도하는 과정에서 백그라운드 방식으로 네이트(Nate)/다음(Daum) 검색 행위를 수행합니다.

또한 인터넷 검색시 광고탭을 생성하여 HybirdView 광고 서버를 경유하여 광고 페이지로 연결되는 동작을 확인할 수 있습니다.

그 외에도 인터넷 검색시 네오클릭(NeoClick) 광고로 확인되는 전체 화면 방식의 광고창을 생성하는 동작을 확인할 수 있습니다.

 

WindowMix 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 Windowmix.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "WindowMix" 삭제 항목을 이용하여 프로그램 제거를 진행할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\AppData\Local\Temp\Windowmix_setup.exe
  • C:\Users\(사용자 계정)\AppData\Roaming\WindowMix
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - LL1
 - LL2
 - LL3
 - LLCD
 - radarea
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowmixUpdate = "c:\users\(사용자 계정)\appdata\roaming\windowmix\windowmixup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WindowMix
HKEY_CURRENT_USER\Software\Windowmix

 

WindowMix 광고 프로그램이 설치된 경우 인터넷 검색시 원치않는 광고창(탭) 생성 및 화면상으로 표시되지 않는 포털 검색 행위로 트래픽을 유발할 수 있으므로 주의하시기 바랍니다.