본문 바로가기

벌새::Analysis

검색 도우미 : Windows WIS

반응형

검색 키워드 감시를 통해 인터넷 이용 시 광고창 생성 및 업데이트 기능을 통한 추가적인 제휴 프로그램 설치를 유도할 수 있는 국내에서 제작된 "Windows WIS" 광고 프로그램(SHA-1 : e8360fd412855643ab18bff686f433d1fd2c9619 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72256)에 대해 살펴보도록 하겠습니다.

 

 

해당 광고 프로그램은 2013년 6월경 배포가 시작된 것으로 추정되며, 당시 유사 계열의 광고 프로그램이 다수 존재하였던 것으로 보입니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Program Files\Windows WIS
C:\Program Files\Windows WIS\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows WIS\wiscfg.exe
C:\Program Files\Windows WIS\wisclt.exe :: 메모리 상주 프로세스
C:\Program Files\Windows WIS\wismsut.exe
C:\Program Files\Windows WIS\wismsvc.exe :: 서비스(Windows WIS Manager Service) 등록 파일
C:\Program Files\Windows WIS\wismsvp.exe
C:\Program Files\Windows WIS\wissvc.exe :: 서비스(Windows WIS) 등록 파일, 메모리 상주 프로세스
C:\Program Files\Windows WIS\wisupdate.exe

 

생성 파일 진단 정보

 

C:\Program Files\Windows WIS\uninstall.exe
 - SHA-1 : 3252b48c2f34493a3435f6659e1cdf818bf84805
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72256

 

C:\Program Files\Windows WIS\wiscfg.exe
 - SHA-1 : 8db59defe6a4935a1a65f4fc372720e3bcf437ab
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72255

 

C:\Program Files\Windows WIS\wisclt.exe
 - SHA-1 : 7b2b2a2942c3507a4e2ea7d782a8c7d736fc580c
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72255

 

C:\Program Files\Windows WIS\wismsut.exe
 - SHA-1 : 8af3605101a03ceeabf63002af77d5b6ba1a0a57
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C190416

 

C:\Program Files\Windows WIS\wismsvc.exe
 - SHA-1 : c3451c772c437f28f2c92a343270e5027bab21d8
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C190421

 

C:\Program Files\Windows WIS\wismsvp.exe
 - SHA-1 : aa84afa96749ef0191dbcebcb88b07c50f7153fe
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C190420

 

C:\Program Files\Windows WIS\wissvc.exe
 - SHA-1 : a1b964959340fac644eed7ac7e1c495978b4de76
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72255

 

C:\Program Files\Windows WIS\wisupdate.exe
 - SHA-1 : e95d69d6aabd7fb4dcc1e4607bc06d416cb0e2e1
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsIAM.R72255

 

 

"mediabiz Inc.", "SAMJUNG TECHNOLOGY Co., Ltd" 2종의 디지털 서명이 사용된 해당 광고 프로그램은 "C:\Program Files\Windows WIS" 폴더에 파일을 생성합니다.

 

 

"wismsvc32 (표시 이름 : Windows WIS Manager Service)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Program Files\Windows WIS\wismsvc.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

패치된 파일 및 진단 정보

 

C:\Program Files\Windows WIS\wismsut.exe
 - SHA-1 : e0c5ed27d2403793fc846ff753493d14a05f4af3
 - AhnLab V3 365 Clinic : PUP/Win32.WindowsNAS.C410109

 

 

실행된 wismsvc.exe 서비스 파일은 2분 경과 시 업데이트 서버로부터 버전 정보를 체크하여 프로그램 패치를 진행한 후 자동 종료 처리됩니다.

 

이 과정에서 업데이트 서버에 추가적인 제휴 프로그램이 추가되어 있을 경우 "C:\Program Files\Windows WIS\wismsut.exe" 파일 실행을 통해 "정규 업데이트 및 추가 프로그램 설치 안내" 창을 생성하여 다수의 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

 

정규 업데이트 창과 유사성을 가진 광고 프로그램은 2012년경부터 활발하게 배포된 적이 있었으므로 참고하시기 바랍니다.

 

 

"wissvc (표시 이름 : Windows WIS)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Program Files\Windows WIS\wissvc.exe" 파일을 자동 실행하여 메모리에 상주하며, 추가적으로 광고 기능을 수행하는 "C:\Program Files\Windows WIS\wisclt.exe" 파일을 로딩할 수 있을 것으로 추정됩니다.

 

이를 통해 사용자가 웹 브라우저를 통해 검색 키워드 값을 입력할 경우 매칭될 경우 다양한 광고창을 자동으로 생성하는 행위를 수행할 수 있으므로 현재 테스트 시점에서는 광고 행위는 정상적으로 동작하지 않고 있습니다.

 

"Windows WIS" 광고 프로그램 제거 방법

 

(a) 명령 프롬프트(관리자)를 실행하여 [sc stop "wissvc"] 명령어 입력 및 실행을 통해 메모리에 상주하는 wissvc.exe 서비스를 종료하시기 바랍니다.

 

(b) 작업 관리자를 실행하여 메모리에 상주하는 wisclt.exe 프로세스가 존재할 경우 종료하시기 바랍니다.

 

 

(c) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows WIS" 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Windows WIS
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows WIS
HKEY_LOCAL_MACHINE\SOFTWARE\Windows WIS Manager
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wismsvc32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wissvc

 

 

현재 광고 기능은 이미 죽은 것으로 보이지만 "Windows WIS" 광고 프로그램의 업데이트 서버를 통한 프로그램 패치 및 추가적인 광고 프로그램 설치가 가능하므로 반드시 제거하시기 바랍니다.

728x90
반응형