본문 바로가기

벌새::Analysis

인공지능(AI) 인터넷 도우미 winclientservice.exe 파일의 정체 (2018.8.11)

반응형

최근에 프로그램을 설치하는 과정에서 의심스러운 폴더에 파일이 1개만 생성된 후 실행되고 있는 것이 확인되어 살펴보도록 하겠습니다.

 

"File Description Info" 출처 : https://www.malwares.com

 

문제의 파일은 "C:\Users\%UserName%\AppData\Roaming\wcs\WinClientService.exe" 파일(SHA-1 : beefe5857a434e17d4a164134aaa944429a907cb - ESET : a variant of Win32/Adware.Kraddare.LV)로 생성되어 있으며, 파일 속성을 확인해보면 "Plan11 Co.,Ltd." 디지털 서명이 추가된 상태로 2018년 6월 초에 발견된 것을 알 수 있었습니다.

 

출처 : https://www.malwares.com

 

Malwares.com에서 제공하는 태그(Tag) 정보를 통해 국내에서 제작된 광고 프로그램으로 추정되기에 해당 파일의 출처를 추적하여 기능을 살펴보도록 하겠습니다.

 

 

국내에서 제작되어 무료 배포 중인 다뷰 인디(DaVu Indy) 프로그램을 설치하는 과정에서 "인공지능(AI) 인터넷 사용 도우미 설치" 항목이 기본값으로 체크된 상태로 설치가 이루어지고 있는 것을 확인할 수 있습니다.

 

해당 도우미가 포함된 방식으로 설치가 완료된 후에는 앞서 언급한 "C:\Users\%UserName%\AppData\Roaming\wcs" 폴더를 추가 생성한 후 내부에 WinClientService.exe 파일을 생성합니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 - WinClientService = "c:\users\%UserName%\appdata\roaming\wcs\winclientservice.exe"

 

생성된 WinClientService.exe 파일은 Windows 시작 시 자동 실행되도록 시작 프로그램(Run)에 WinClientService 등록값으로 추가됩니다.

 

 

또한 사용자가 인터넷 검색 등의 웹 브라우저 사용 중에 광고탭 생성을 통해 특정 사이트가 자동으로 오픈되는 것을 확인할 수 있습니다.

 

 

참고로 광고탭 연결 과정을 잠시 살펴보면 인터넷 검색 키워드를 참조하여 "tl.cdsp.co.kr" 서버로 사용자 Mac Address, IP 주소, 검색 사이트, 검색 키워드 등의 정보를 전송합니다.

 

 

이를 통해 최종적으로 기존의 WindowsTab 광고 서비스를 통해 광고탭이 노출되는 것을 확인할 수 있습니다.

 

그런데 흥미로운 점은 WinClientService.exe 광고 파일을 추가적으로 실행시켜주는 다른 파일이 존재한다는 점입니다.

 

 

다뷰 인디(DaVu Indy) 프로그램이 설치된 환경에서 프로그램 업데이트 기능을 하는 것처럼 추가된 "C:\Program Files (x86)\HumanTalk\DaViewIndy\LiveUpdate.exe" 파일(SHA-1 : eb6c74a5a26ae4f6f5c30bb792fb66a8796b8612)이 있습니다.

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - DaTools LiveUpdate = "C:\Program Files (x86)\HumanTalk\DaViewIndy\LiveUpdate.exe" "INST" "DVIWIN" "8.94" "http://topview.kr" "Components:plan11" "WV:<OS 버전>" "DF:HTUpdateDV.dat"

 

생성된 LiveUpdate.exe 파일 역시 Windows 시작 시 자동 실행되도록 시작 프로그램(Run) 영역에 "DaTools LiveUpdate" 등록값으로 추가되어 있습니다.

 

자동 실행값 정보를 참조해보면 "C:\Users\%UserName%\AppData\Roaming\HumanTalk\LiveUpdate\HTUpdateDV.dat" 구성 파일을 참조하는 것을 알 수 있습니다.

 

 

이를 통해 실행 후 일정 시간 경과 시 알림 아이콘 상단에 토스트 팝업 광고가 생성될 수 있습니다.

 

특히 실행 시마다 WinClientService.exe 파일의 자동 실행을 위해 등록한 WinClientService 시작 프로그램 등록값을 체크하여 삭제된 경우 재등록하도록 구성되어 있습니다.

 

 

그 외 특징적인 광고 행위가 포함되어 있는 부분이 있는데 예를 들어 유명 게임 사이트 등에서 로그인 또는 회원 가입 페이지에 접근할 경우 LiveUpdate.exe 파일을 통해 로그인 보호 서비스(유료) 가입창을 생성하는 동작이 있습니다.

 

 

넷마블(Netmarble) 회원 가입 과정에서도 사용자가 본인 확인 방법을 선택할 때 아이핀을 선택할 경우 위와 같은 넷마블에서 제공하는 창이 뜹니다.

 

그런데 LiveUpdate.exe 파일은 마치 넷마블에서 추가적으로 생성한 것처럼 주식 투자(유료) 관련 가입창을 생성하는 광고 행위가 포함되어 있습니다.

 

 

결과적으로 해당 프로그램 설치로 인하여 인공지능(AI) 인터넷 도우미(WinClientService.exe) 외에도 프로그램의 업데이트 확인 기능이 포함된 LiveUpdate.exe 파일을 통해 다양한 광고 동작이 존재한 것을 알 수 있습니다.

 

물론 통합 뷰어 프로그램(무료 버전)을 제공하기에 광고 기능이 포함되어 있을 수 있다는 점은 무시할 수 없습니다.

 

 

이유는 어찌되었든 사용자가 제대로 인지하지 못하는 과정에서 2개의 파일을 통해 다양한 광고 행위가 포함되어 있으므로 프로그램을 사용하면서 원치않는 광고로 고생하실 경우에는 "DauVu Indy 2018 - 국산 완전 무료 통합뷰어" 프로그램을 찾아 제거를 하시면 관련 광고 파일 및 프로그램은 제거가 이루어집니다.

 

무료 소프트웨어는 광고가 포함된 경우가 있다는 점에서 설치 시 제품의 이용약관 등을 꼼꼼하게 확인하여 설치 여부를 결정하시기 바랍니다.

728x90
반응형