본문 바로가기

벌새::Analysis

스폰서 프로그램 - 게임엔젤 전용 프로그램 (게임엔젤 오락실 실행 프로그램)


각종 온라인 게임을 제공하는 게임엔젤 사이트에서 제공하는 전용 프로그램에 대해 살펴보도록 하겠습니다. 특히 해당 프로그램을 설치시 이용약관 동의를 통하여 추가적으로 설치가 되는 [게임엔젤 웹세일 (WebsaleSystem)]을 중점적으로 분석해 보겠습니다.

일부 인터넷 사용자 중에 해당 프로그램 설치로 인하여 인터넷 웹 브라우저를 통한 검색시 불편한 사항과 해당 프로그램 삭제에 따른 문제점으로 인해 살펴보는 글임을 밝힙니다.

해당 사이트에서 게임을 이용하려면 반드시 게임엔젤 전용 프로그램을 ActiveX 방식 또는 실행 파일 다운로드를 통한 설치를 통해 게임을 이용할 수 있습니다. 이 과정에서 이용약관에서는 웹세일 프로그램을 추가적으로 설치한다는 동의 과정을 거치고 있습니다.


이용약관의 내용을 살펴보면 도메인, 키워드 입력시 해당 검색어와 관련된 정보를 제공한다고 밝히고 있습니다.


제공하는 방식은 IE 좌측 영역에 사이드바 형태로 검색결과를 노출하는 기능임을 밝히고 있습니다.


여기에 재미있는 사항이 하나 제시되어 있습니다.

해당 웹세일 관련 프로그램을 다른 프로그램이 삭제를 하거나 동작을 방해하지 않도록 일정 간격을 통해 프로그램을 복구해 주는 일명 자기 보호 기능을 포함하고 있습니다. 이 기능이 들어간 이유는 사용자가 게밍 프로그램만 이용하고 해당 스폰서 프로그램을 차단하는 것을 방지하거나 보안 제품이 스파이웨어 등으로 간주하고 삭제하는 것을 막기 위한 것이 아닌가 생각됩니다.


게임엔젤 전용 프로그램 설치로 인한 폴더와 파일 생성 정보입니다.

GameAngel : 게임엔젤에서 제공하는 게임 실행 관련
WebsaleSystem : IE 검색 웹세일 관련
Temp : 게임엔젤 설치시 다운로드 관련 임시 폴더



실제 설치된 후 IE 도구모음에서 확인을 해보면 [게임엔젤] 메뉴를 클릭할 경우 작은 IE창이 생성되어 쉽게 게임 관련 웹 사이트로 접근할 수 있도록 구성되어 있습니다.


또한 제어판의 프로그램 추가/제거 항목에서 [Gameangel 오락실 실행 프로그램] 목록이 생성되어 정상적으로 프로그램이 삭제되는 것을 확인할 수 있습니다.


이제 웹세일 관련 스폰서 프로그램에 대해 알아보도록 하겠습니다.
 
해당 프로그램이 설치되기 전에 일반적으로 IE 주소창에 특정 검색어를 입력하면 자동으로 위와 같이 파란(paran) 검색어로 넘어가는 방식으로 구성되어 있습니다. 또는 특정 검색 사이트에서 검색어를 입력하면 정상적으로 해당 검색 결과를 해당 웹 페이지에서 제공하는 것이 IE의 기본적인 검색 방식입니다.


하지만 웹세일 스폰서 프로그램이 설치된 상태에서 IE 주소창에 특정 검색어를 입력하면 웹세일에서 지정한 특정 검색 사이트로 이동하여 해당 검색 결과를 제공합니다.


이번에는 다음(Daum) 사이트에서 특정 검색어를 입력해 보았습니다.

위와 같이 좌측 상단에 연두색으로 해당 검색어가 잠시 노출이 되면서 좌측 즐겨찾기 항목에 추천 사이트 목록창이 생성됩니다. 만약 IE 즐겨찾기가 활성화되어 있는 상태라면 2개의 즐겨찾기창이 생성된 것으로 구현이 되므로 인터넷 사용자 입장에서 많은 불편함을 느낄 수 있으리라 보여집니다.


이렇게 구현되는 원리는 IE 프로세서에 gabho.dll / WebsHP.dll 파일이 삽입되어 있는 것을 확인할 수 있습니다.


[윈도우 시작 관련 등록 정보]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 -> Gabar - c:\program files\gameangel\gaupdater.exe 
 -> WebsaleSystemReward - c:\program files\websalesystem\websagent.exe


[BHO 관련 등록 정보]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
 -> GABHO - c:\program files\gameangel\gabho.dll


이 외에도 IE 웹 브라우저를 닫은 상태에서 특정 프로세서가 상주하는 것을 확인할 수 있습니다.

이제 웹세일 스폰서 프로그램을 삭제해 보도록 하겠습니다.


제어판의 프로그램 추가/삭제 항목에서 [WebsaleSystem-gameangel] 목록이 생성되어 있는 것을 확인하실 수 있습니다. 하지만 실제 삭제를 시도하면 다음과 같은 창이 생성되면서 프로그램이 삭제되지 않는 현상을 발견할 수 있습니다.


마치 자신을 삭제하려는 이유가 자신을 스파이웨어로 간주하기 때문인 것처럼 가정하고 항변을 하는 모습이며, 적립금을 제시하면서 삭제를 방해하기 시작합니다.


삭제 방해 방식은 삭제를 위해 윈도우 제어판을 작동시키면 생성되는 rundll32.exe 프로세서에 WebsAgent.exe 프로세서를 삽입하여 방해를 하고 있습니다.

이제 수동으로 해당 스폰서 프로그램을 삭제하는 방법을 알아보겠습니다.(이 방법은 필자가 전문가가 아니므로 오류가 있을 수 있음을 감안하시기 바랍니다.)

먼저, 위에서 제시한 생성 폴더와 파일 정보 중 [%Program Files\WebsaleSystem%] 폴더를 수동으로 강제 삭제를 합니다.(모든 프로그램을 종료한 상태에서 시도하시기 바랍니다.)


삭제 후 제어판의 프로그램 추가/삭제에서 WebsaleSystem-gameangel 항목을 찾아 제거를 클릭하시면 위와 같이 경고창이 생성되면서 항목이 제거됩니다.

하지만 IE 웹 브라우저를 동작하여 추가 기능 관리의 도구 모음과 확장 항목에 보시면 여전히 [WebsaleSystem] 항목이 구현되어 있습니다.


이로 인하여 검색어를 입력하면 IE 좌측에 추천사이트 창이 생성되므로 정상적으로 삭제된 것이 아닙니다.

이제 레지스트리 항목에서 다음과 같은 항목을 찾아 수동으로 삭제를 하시기 바랍니다.

HKEY_CLASSES_ROOT\CLSID\{676F7A16-2D27-4E22-87F1-9D6E5BC49C57}
HKEY_CLASSES_ROOT\CLSID\{F745B7EC-850F-47E3-AF5E-3FA7F8DD1E4B}
HKEY_CLASSES_ROOT\TypeLib\{A1956EAE-614E-49CD-B1CA-3C446A8C68D3}
HKEY_LOCAL_MACHINE\software\Classes\clsid\{676F7A16-2D27-4E22-87F1-9D6E5BC49C57}
HKEY_LOCAL_MACHINE\software\Classes\clsid\{F745B7EC-850F-47E3-AF5E-3FA7F8DD1E4B}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{A1956EAE-614E-49CD-B1CA-3C446A8C68D3}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
 -> WebsaleSystem - C:\Program Files\WebsaleSystem\WebsAgent.exe
HKEY_LOCAL_MACHINE\software\WebsaleSystem
HKEY_LOCAL_MACHINE\software\WebsalesystemAgent

해당 항목을 삭제하신 후 IE 웹 브라우저를 확인해 보시면 정상적으로 동작하는 것을 확인할 수 있습니다.

이외에 삭제 과정에서 완전히 삭제되지 않은 파일을 수동으로 찾아서 삭제하시면 됩니다.

%WINDOWS\system32% - iwebs.dat / pnwebs.dat

다양한 웹 서비스를 이용하면서 위와 같이 선택할 수 없이 설치되는 스폰서 프로그램의 경우 삭제가 정상적으로 되지 않아 고생하시는 분들이 계시는 것 같습니다.

되도록이면 이런 서비스는 조심해야 하지 않을까 생각됩니다. 이유는 정상적인 이용약관을 통해 동의 과정을 거쳤기 때문에 항변할 수 없는 현실 때문이라고 생각됩니다.