본문 바로가기

벌새::Analysis

검색 도우미 : 윈멘트(WinMent)

반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 상단에 광고바가 생성되는 검색 도우미 윈멘트(WinMent) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램과 유사성이 강한 프로그램이 기존부터 발견되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020\sqlite3.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020\winments14.dll
C:\Program Files\WinMent
C:\Program Files\WinMent\badb.dat
C:\Program Files\WinMent\sqlite3.dll
C:\Program Files\WinMent\ukdb.dat
C:\Program Files\WinMent\uninst1.exe :: 프로그램 삭제 파일
C:\Program Files\WinMent\winmentb14.dll :: BHO 등록 파일
C:\Program Files\WinMent\winments14.dll
C:\Program Files\WinMent\winmentu.exe :: 서비스 등록 파일

해당 프로그램은 Windows 시작시 winmentu.exe 파일을 서비스 항목으로 등록하여 자동 실행되어 메모리에 상주하도록 구성되어 있습니다.

등록된 서비스 항목은 [Windows WinMent Update Service]라는 이름으로 등록되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 할 경우 웹 브라우저 상단에 광고바가 생성되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

WinMent

 - 게시자 : agir
 - CLSID : {3D832BC9-918A-4A13-B231-C3020C3A60B0}
 - 파일 : C:\Program Files\WinMent\winmentb14.dll

해당 광고바 생성 동작을 중지하기 위해서는 추가 기능 관리에 등록된 WinMent 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 살펴보면 winmentu.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winmentb14.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 서비스로 등록된 항목을 중지하기 위하여 실행창에 [sc stop "Windows WinMent Update Service"] 명령어를 입력하여 서비스를 중지하시기 바랍니다.

실행 중인 Internet Explorer 웹 브라우저를 종료한 후, 제어판의 [WinMent] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020\sqlite3.dll
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\~nsis\c3i020\winments14.dll
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D832BC9-918A-4a13-B231-C3020C3A60B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1D832BC9-918A-4A13-B231-C3020C3A60B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2D832BC9-918A-4A13-B231-C3020C3A60B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinMentc3i020BHO.WinMentc3i020APIClass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinMentc3i020BHO.WinMentc3i020APIClass.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3D832BC9-918A-4a13-B231-C3020C3A60B0}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WinMent

HKEY_LOCAL_MACHINE\SOFTWARE\agir
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_
WINMENT_UPDATE_SERVICE

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows WinMent Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_WINMENT_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WinMent Update Service

해당 프로그램은 프로그램 목록에 제시되지 않는 점으로 인해 설치 여부를 사용자가 쉽게 확인하기 어려우며, 웹 브라우저와 연동되어 생성되는 광고바는 인터넷 속도 저하 및 오류를 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형