반응형
국내에서 제작된 광고성 프로그램으로 제어판을 통한 삭제를 지원하지 않는 MicrowindowSearch 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램은 사용자가 인지하기 어려운 "C:\WINDOWS\system32\MicrowindowSearch" 폴더에 파일을 생성하며, Windows 시작시 MicrowindowSearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
MicrowindowSearch_is1)을 삭제하여 제어판 삭제 목록에 MicrowindowSearch 프로그램이 표시되지 않도록 하는 동작을 확인할 수 있습니다.
그러므로 프로그램 삭제를 위해서는 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.
해당 프로그램은 현재 광고 기능은 존재하지 않는 것으로 보이지만, 삭제 기능을 악의적으로 제거하여 삭제를 방해하며 시스템 시작시마다 특정 서버에 접속하는 동작으로 인해 원치 않는 추가적인 동작이 발생할 수 있으므로 삭제를 권장합니다.
[생성 폴더 / 파일 등록 정보]
C:\WINDOWS\system32\MicrowindowSearch
C:\WINDOWS\system32\MicrowindowSearch\FreeApp.exe
C:\WINDOWS\system32\MicrowindowSearch\makeguid.dll
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch Update Log.txt
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.dat
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\MicrowindowSearch\unins000.dat
C:\WINDOWS\system32\MicrowindowSearch\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\WindowServiceNT.exe :: Application Special Management 서비스 등록 파일
C:\WINDOWS\system32\MicrowindowSearch
C:\WINDOWS\system32\MicrowindowSearch\FreeApp.exe
C:\WINDOWS\system32\MicrowindowSearch\makeguid.dll
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch Update Log.txt
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.dat
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe :: 시작 프로그램 등록 파일
C:\WINDOWS\system32\MicrowindowSearch\unins000.dat
C:\WINDOWS\system32\MicrowindowSearch\unins000.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\WindowServiceNT.exe :: Application Special Management 서비스 등록 파일
[생성 파일 진단 정보]
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
- MD5 : a555fc8d758367b0ec9fb0a34f5a10c7
- AhnLab V3 : PUP/Win32.365Web (VirusTotal : 6/43)
C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
- MD5 : a555fc8d758367b0ec9fb0a34f5a10c7
- AhnLab V3 : PUP/Win32.365Web (VirusTotal : 6/43)
해당 프로그램은 사용자가 인지하기 어려운 "C:\WINDOWS\system32\MicrowindowSearch" 폴더에 파일을 생성하며, Windows 시작시 MicrowindowSearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
GET /MicrowindowSearch/MicrowindowSearch.ts1 HTTP/1.1참고로 실행된 파일은 특정 광고 업데이트 서버에 접속하여 MicrowindowSearch.ts1 파일을 체크하도록 되어 있습니다.
Accept: */*
Content-Type: application/x-www-form-urlencoded
User-Agent: Setup Factory
Host: update.mylinks.kr
Connection: Keep-Alive
Cache-Control: no-cache
또한 시스템 시작시 서비스에 등록된 "Application Special Management" 항목을 통해 "C:\WINDOWS\system32\WindowServiceNT.exe" 파일을 실행하도록 구성되어 있습니다.
서비스를 통해 실행된 WindowServiceNT.exe 파일 역시 특정 광고 업데이트 서버에 접속하는 동작을 확인할 수 있습니다.
참고로 해당 프로그램이 등록한 "Application Special Management" 서비스 항목은 Windows 기본 서비스 중 "AppMgmt(Application Management)"와 유사하게 등록하여 사용자가 정상적인 서비스로 오해를 유발할 수 있으므로 주의하시기 바랍니다.
해당 프로그램이 업데이트 체크를 할 때마다 기록되는 로그(Log)를 확인해보면 고의적으로 제어판에 등록하는 프로그램 삭제 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
MicrowindowSearch_is1)을 삭제하여 제어판 삭제 목록에 MicrowindowSearch 프로그램이 표시되지 않도록 하는 동작을 확인할 수 있습니다.
그러므로 프로그램 삭제를 위해서는 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.
프로그램 삭제는 윈도우 탐색기를 통해 "C:\WINDOWS\system32\MicrowindowSearch\unins000.exe" 파일을 찾아 수동으로 실행을 하면 "MicrowindowSearch 제거" 창이 생성됩니다.
실제 삭제를 진행하면 정상적으로 생성 폴더와 파일을 삭제하는 것을 확인할 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\AppDataLow\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MicrowindowSearch = C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_APPLICATIONSPECIALMANAGEMENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
ApplicationSpecialManagement
HKEY_CURRENT_USER\Software\AppDataLow\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\MicrowindowSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- MicrowindowSearch = C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_APPLICATIONSPECIALMANAGEMENT
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
ApplicationSpecialManagement
해당 프로그램은 현재 광고 기능은 존재하지 않는 것으로 보이지만, 삭제 기능을 악의적으로 제거하여 삭제를 방해하며 시스템 시작시마다 특정 서버에 접속하는 동작으로 인해 원치 않는 추가적인 동작이 발생할 수 있으므로 삭제를 권장합니다.
728x90
반응형