해당 GuideTool 패밀리(Family)는 파일 구성과 동작 방식에 있어서 동일하며, 사용자가 Internet Explorer를 통해 국내 특정 검색 사이트 및 쇼핑몰 사이트 검색시 프로그램에서 제공하는 추천 사이트 등의 광고를 출력하는 것으로 알려져 있습니다.
제작사 배포 사이트에서 제공하는 Setup 설치 파일(MD5 : b34f80a2369ea6c46f2c22fb933c9943)에 대하여 해외 보안제품 AVG에서는
Downloader.Generic9.ADCO 진단명으로 진단하는 것을 확인할 수 있습니다.
해당 프로그램은 설치 과정에서 어떠한 화면 정보도 제공하지 않고 설치가 되는 것을 확인할 수 있습니다.
설치된 프로그램은 사용자가 Internet Explorer를 이용하여 특정 검색 사이트에서 검색어를 입력시 iexplore.exe 프로세스에 webguidetool.dll / winlmcl3.dat 2개의 파일을 BHO 방식으로 추가하여 프로그램에서 제공하는 매치된 추천 사이트를 웹 브라우저 하단에 출력하는 것으로 추정됩니다.
이를 통하여 사용자가 프로그램에서 제시하는 추천 사이트를 통한 추가적인 활동이 발생시 프로그램 배포자에게 금전적 수익으로 연결되는 것으로 보입니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [webguidetool] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램의 정상적인 삭제 후에도 [%systemroot%\system32\winlmcl3.dat] 파일이 존재하며, [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ABD13395-E5A8-4F62-9EFD-A8C61AC81A52}] BHO 레지스트리 값이 동작하므로 추가적인 수동 삭제를 반드시 하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\webguidetool.DLL
HKEY_CLASSES_ROOT\AppID\{9CF25EDB-FF2B-4413-B57A-6BD3C36A15B5}
HKEY_CLASSES_ROOT\CLSID\{4B8056F9-E186-453B-BAF0-D6D2D034B0BA}
HKEY_CLASSES_ROOT\CLSID\{ABD13395-E5A8-4F62-9EFD-A8C61AC81A52}
HKEY_CLASSES_ROOT\Interface\{865968AE-F8AA-40B8-B7FA-D7A032FB3B48}
HKEY_CLASSES_ROOT\TypeLib\{A3E7A7C9-82D3-4577-B131-15FBE5DCC479}
HKEY_CLASSES_ROOT\webguidetool.webguidetool
HKEY_CLASSES_ROOT\webguidetool.webguidetool.1
HKEY_CLASSES_ROOT\winlmcl3.winl2mkcl3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4B8056F9-E186-453B-BAF0-D6D2D034B0BA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ABD13395-E5A8-4F62-9EFD-A8C61AC81A52}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webguidetool
HKEY_LOCAL_MACHINE\SOFTWARE\webguidetool