본문 바로가기

벌새::Analysis

인공지능(AI) 인터넷 도우미 winclientservice.exe 파일의 정체 (2018.8.11)

최근에 프로그램을 설치하는 과정에서 의심스러운 폴더에 파일이 1개만 생성된 후 실행되고 있는 것이 확인되어 살펴보도록 하겠습니다.

 

"File Description Info" 출처 : https://www.malwares.com

 

문제의 파일은 "C:\Users\%UserName%\AppData\Roaming\wcs\WinClientService.exe" 파일(SHA-1 : beefe5857a434e17d4a164134aaa944429a907cb - ESET : a variant of Win32/Adware.Kraddare.LV)로 생성되어 있으며, 파일 속성을 확인해보면 "Plan11 Co.,Ltd." 디지털 서명이 추가된 상태로 2018년 6월 초에 발견된 것을 알 수 있었습니다.

 

출처 : https://www.malwares.com

 

Malwares.com에서 제공하는 태그(Tag) 정보를 통해 국내에서 제작된 광고 프로그램으로 추정되기에 해당 파일의 출처를 추적하여 기능을 살펴보도록 하겠습니다.

 

 

국내에서 제작되어 무료 배포 중인 다뷰 인디(DaVu Indy) 프로그램을 설치하는 과정에서 "인공지능(AI) 인터넷 사용 도우미 설치" 항목이 기본값으로 체크된 상태로 설치가 이루어지고 있는 것을 확인할 수 있습니다.

 

해당 도우미가 포함된 방식으로 설치가 완료된 후에는 앞서 언급한 "C:\Users\%UserName%\AppData\Roaming\wcs" 폴더를 추가 생성한 후 내부에 WinClientService.exe 파일을 생성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - WinClientService = "c:\users\%UserName%\appdata\roaming\wcs\winclientservice.exe"

생성된 WinClientService.exe 파일은 Windows 시작 시 자동 실행되도록 시작 프로그램(Run)에 WinClientService 등록값으로 추가됩니다.

 

 

또한 사용자가 인터넷 검색 등의 웹 브라우저 사용 중에 광고탭 생성을 통해 특정 사이트가 자동으로 오픈되는 것을 확인할 수 있습니다.

 

 

참고로 광고탭 연결 과정을 잠시 살펴보면 인터넷 검색 키워드를 참조하여 "tl.cdsp.co.kr" 서버로 사용자 Mac Address, IP 주소, 검색 사이트, 검색 키워드 등의 정보를 전송합니다.

 

 

이를 통해 최종적으로 기존의 WindowsTab 광고 서비스를 통해 광고탭이 노출되는 것을 확인할 수 있습니다.

 

그런데 흥미로운 점은 WinClientService.exe 광고 파일을 추가적으로 실행시켜주는 다른 파일이 존재한다는 점입니다.

 

 

다뷰 인디(DaVu Indy) 프로그램이 설치된 환경에서 프로그램 업데이트 기능을 하는 것처럼 추가된 "C:\Program Files (x86)\HumanTalk\DaViewIndy\LiveUpdate.exe" 파일(SHA-1 : eb6c74a5a26ae4f6f5c30bb792fb66a8796b8612)이 있습니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DaTools LiveUpdate = "C:\Program Files (x86)\HumanTalk\DaViewIndy\LiveUpdate.exe" "INST" "DVIWIN" "8.94" "http://topview.kr" "Components:plan11" "WV:<OS 버전>" "DF:HTUpdateDV.dat"

생성된 LiveUpdate.exe 파일 역시 Windows 시작 시 자동 실행되도록 시작 프로그램(Run) 영역에 "DaTools LiveUpdate" 등록값으로 추가되어 있습니다.

 

자동 실행값 정보를 참조해보면 "C:\Users\%UserName%\AppData\Roaming\HumanTalk\LiveUpdate\HTUpdateDV.dat" 구성 파일을 참조하는 것을 알 수 있습니다.

 

 

이를 통해 실행 후 일정 시간 경과 시 알림 아이콘 상단에 토스트 팝업 광고가 생성될 수 있습니다.

 

특히 실행 시마다 WinClientService.exe 파일의 자동 실행을 위해 등록한 WinClientService 시작 프로그램 등록값을 체크하여 삭제된 경우 재등록하도록 구성되어 있습니다.

 

 

그 외 특징적인 광고 행위가 포함되어 있는 부분이 있는데 예를 들어 유명 게임 사이트 등에서 로그인 또는 회원 가입 페이지에 접근할 경우 LiveUpdate.exe 파일을 통해 로그인 보호 서비스(유료) 가입창을 생성하는 동작이 있습니다.

 

 

넷마블(Netmarble) 회원 가입 과정에서도 사용자가 본인 확인 방법을 선택할 때 아이핀을 선택할 경우 위와 같은 넷마블에서 제공하는 창이 뜹니다.

 

그런데 LiveUpdate.exe 파일은 마치 넷마블에서 추가적으로 생성한 것처럼 주식 투자(유료) 관련 가입창을 생성하는 광고 행위가 포함되어 있습니다.

 

 

결과적으로 해당 프로그램 설치로 인하여 인공지능(AI) 인터넷 도우미(WinClientService.exe) 외에도 프로그램의 업데이트 확인 기능이 포함된 LiveUpdate.exe 파일을 통해 다양한 광고 동작이 존재한 것을 알 수 있습니다.

 

물론 통합 뷰어 프로그램(무료 버전)을 제공하기에 광고 기능이 포함되어 있을 수 있다는 점은 무시할 수 없습니다.

 

 

이유는 어찌되었든 사용자가 제대로 인지하지 못하는 과정에서 2개의 파일을 통해 다양한 광고 행위가 포함되어 있으므로 프로그램을 사용하면서 원치않는 광고로 고생하실 경우에는 "DauVu Indy 2018 - 국산 완전 무료 통합뷰어" 프로그램을 찾아 제거를 하시면 관련 광고 파일 및 프로그램은 제거가 이루어집니다.

 

무료 소프트웨어는 광고가 포함된 경우가 있다는 점에서 설치 시 제품의 이용약관 등을 꼼꼼하게 확인하여 설치 여부를 결정하시기 바랍니다.

  • 사용자 2018.11.25 09:04 댓글주소 수정/삭제 댓글쓰기

    원인을 모르고 있었는데, 설명 감사합니다.

  • 지나가는 사람 2019.01.22 16:02 댓글주소 수정/삭제 댓글쓰기

    와 저것때문에 너무 스트레스 받았는데,
    자세한 설명 정말 감사합니다!!

  • 지나가는 인물 2019.02.08 23:16 댓글주소 수정/삭제 댓글쓰기

    구글 검색을 통해 이 포스팅을 읽었습니다. 예전에 바이러스 걸렸을때도 벌새님 블로그가 큰 힘이 되었습니다.
    위에 설명주신 내용은 심각한 프로그램 같습니다. 제 경우에는 중요한 작업을 하는 컴퓨터에 저게 깔려 있었는데요.
    원인도 모르고 불특정한 상황에 블루스크린이 뜨는겁니다..
    블루스크린 원인이 워낙 다양해서, 처음엔 하드웨어 인 줄 알고 램부터 하나하나씩 바꿀려고 생각했었습니다. 결국 컴퓨터를 새로 사는게 나은지라는 생각까지도요.
    마침 설이라 택배는 안되고 빨리 수리하긴 해야하고해서, 소프트웨어 이것저것 지우고 정리하고 했더니 안뜹니다. 근데 얼마안가 또 약속이나 한듯 계속 떠서.. 시작프로그램 및 실행중 프로그램 캡쳐 해놓고, 다시 지우니깐 안뜹니다. 결국 원인은 위의 설명된 프로그램이더라고요..
    악성코드야 백업 잘 해두고 나름 요령이 생겼지만, 블루스크린은 정말 끔찍하네요. 원인 찾는다고 시간적, 심적으로 고생한거 생각하면...
    벌새님 블로그 글은 항상 도움이 됩니다. 감사합니다.

  • 지나가는인물 2019.02.28 08:48 댓글주소 수정/삭제 댓글쓰기

    이것땜에 며칠간 스트레스받았는데
    완벽하게 해결책 숙지하고 조치하였습니다.
    감사합니다.

  • 컴초보 2019.03.12 13:47 댓글주소 수정/삭제 댓글쓰기

    MZK, adwcleaner, iobit 등등 애드웨어 제거할려고 오랜 시간 투자했는데 제거가 안되서 뭔가하다가

    작업관리자의 시작프로그램에서 이상한 것이 보이길래 검색해 봤더니 이렇게 속 시원히 설명을 해놓은 자료를 보게 돼네요.

    감사합니다.

    많은 도움이 되었습니다.

  • 난누구 2019.05.09 13:18 댓글주소 수정/삭제 댓글쓰기

    좋은정보 감사드립니다~ 덕분에 문제해결됐네요 ㅠ 평소에 추가설치 프로그램 잘 살펴본다고 했는데도 어느샌가 설치되어있었네요 ㅠ

  • 개꿀 2019.08.01 18:13 댓글주소 수정/삭제 댓글쓰기

    다뷰 다운받을 때 기타프로그램들 체크해제하고 설치했음에도 불구하고
    사용자도 모르게 실행시키는게 아주 괘씸한 프로그램이었네요.
    덕분에 삭제했습니다.

  • 은늑대의숲 2019.10.10 09:44 댓글주소 수정/삭제 댓글쓰기

    삭제 안되는 경우가 있더군요..
    한참 해메다가.. 그냥 다뷰 인디 새로 다운받아서 삭제하니깐 없어졌습니다.
    저 같은 경우.. 2019년 기준으로 "인공지능(AI) 인터넷 사용 도우미 설치" 저런거 체크 없이 그냥 설치되었습니다..
    그래도 원인을 몰라 한참 고생했는데.. 덕분에 원인이 어떤건지를 알게 되어서.. 빨리 해결한 것 같습니다.
    글 많은 도움 되었습니다. 감사드립니다.

  • 백설왕자 2019.10.25 17:18 댓글주소 수정/삭제 댓글쓰기

    저는 저 광고팝업창이 V3 Lite 에서 띄우는 건 줄 알고 그냥 무시하고 있었는데 다뷰가 문제였군요.
    우연히 올려주신 정보를 읽은 김에 레지스트리 편집기(regedit)를 실행시켜서 WinClientService.exe 와 LiveUpdate.exe 관련 항목만 삭제시키고 다뷰 관련 항목들은 남겨놨습니다. 다뷰는 계속 사용하고 싶지만 광고는 보고 싶지 않아서요(다뷰는 1년에 한 두번 쓸까말까 하거든요. ㅎㅎ).
    일단 지금까지는 이상 없는 것 같네요.
    유익한 정보 감사드립니다.

  • 국물없소 2019.11.19 12:03 댓글주소 수정/삭제 댓글쓰기

    11번가 광고가 계속 뜨는 원인을 몰라서 한참 고생하고 있었는데 덕분에 해결했습니다.

    정말 고맙습니다.

  • 원인을 몰라 참 답답했었는데, 그 어느 글 보다 속 시원한 설명이 있어 큰 도움이 되었습니다.
    감사합니다~ ^^

  • 감사합니다 2020.07.08 17:59 댓글주소 수정/삭제 댓글쓰기

    저 뷰어 프로그램 설치할때 분명 체크 해제했는데
    해제하고도 광고창이 뜨길래 이상해서 검색 해보니... 역시 저 프로그램이 원인이었군요
    덕분에 좋은 정보 얻고 갑니다.

  • 팬입니다 2020.07.15 14:29 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 자기들은 계속 바이러스가 아니라고 우겨대서 검색해보니 역시 악질 바이러스였네요. 몇 년 전에도 벌새님 블로그 보고 도움을 많이 받았던 거 같은데 여전히 좋은 포스팅을 해 주셔서 감사합니다 ^^

  • 킹크렙 2020.07.27 10:26 댓글주소 수정/삭제 댓글쓰기

    감사합니다 벌새님.,. 아무리 프리웨어 라지 이렇게 악성코드를 심어놓는 프로그램은 근절되야 할 것 같네요.

  • 아또 2020.09.07 22:02 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 벌새님.. 저 지금 마지막 희망을 발견한것 같은 심정이에요..
    노트북에 광고창이 뜬지는 꽤 오래 되었지만 신경을 안쓰고있었는데 어느날 귀찮다는 생각을 하고보니 하염없이 불편하더라구요.
    그때부터 검색을 계속 해보면서 여러가지 프로그램들을 삭제해보았고 Plan 11의 winconSe support라는 프로그램이 원인이라는것을 알게 되었습니다.

    하지만 정말이지 끔찍하게도 온갖 방법을 써서 삭제를 해봐도 어느날 갑자기 광고창이 또 뜨고 제어판을 들어가면 가장 최근날짜로 winconSe가 또 설치가 되어있더라구요.
    진심 소름돋을 정도로 징글징글했어요. 온갖 백신을 설치해서 삭제해봐도 그 순간뿐.. 어느날 보면 짜잔하고 다시 설치되어있어요.
    Appcheck라는 프로그램으로 삭제가 되는것 같았는데 또 삭제가 안되더라구요..
    무서운 프로그램이었어요 winconSe....

    winconSe로는 글이 많지 않아서 plan 11로 검색을 해보다가 벌새님 글을 보게되었는데...
    제 노트북에도 2020년 버전의 다뷰인디가 설치되어있더라구요...
    저는 벌새님처럼 프로그램을 추적하는 방법은 할 줄 몰라서 제 짧은 생각으로는 분명히 연관성이 있어보여서 다뷰인디 삭제 하고 winconSe도 AppData폴더(?)에서 폴더째로 삭제하였어요..

    이문제로 두달째 씨름하고있어요... ㅠㅠ 제발 다뷰인디가 범인이었기를 ....
    Plan 11.. 정말이지 미칠것같아요 ...