본문 바로가기

벌새::Analysis

검색 도우미 : 윈오리지널(WinOriginal)

국내에서 제작되어 웹 브라우저 상단에 광고바를 생성하는 검색 도우미 윈오리지널(WinOriginal) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 유사성이 강한 다수의 프로그램이 존재하므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\WinOriginal
C:\Program Files\WinOriginal\badb.dat
C:\Program Files\WinOriginal\pkdb.dat
C:\Program Files\WinOriginal\sqlite3.dll
C:\Program Files\WinOriginal\ukdb.dat
C:\Program Files\WinOriginal\uninst1.exe :: 프로그램 삭제 파일
C:\Program Files\WinOriginal\winoriginalb17.dll :: BHO 등록 파일
C:\Program Files\WinOriginal\winoriginals17.dll
C:\Program Files\WinOriginal\winoriginalu.exe :: 서비스 등록 파일

해당 프로그램은 [C:\Program Files\WinOriginal] 폴더에 파일을 생성하며, Windows 시작시 winoriginalu.exe 파일을 서비스로 등록하여 자동 실행되도록 구성되어 있습니다.

Windows WinOriginal Update Service 이름으로 등록된 서비스는 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색시 웹 브라우저 상단에 특정 광고 코드가 포함된 광고바를 생성하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

WinOriginal

 - 게시자 : agir
 - CLSID : {3EF359D7-0482-406A-8AB0-C3008ACFD0CF}
 - 파일 : C:\Program Files\WinOriginal\winoriginalb17.dll

해당 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 WinOriginal 이름으로 등록된 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 서비스로 등록된 winoriginalu.exe 파일이 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 winoriginalb17.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고 생성 동작을 확인할 수 있습니다.

프로그램 삭제 전 서비스 중지를 위해서는 실행창에 [sc stop "Windows WinOriginal Update Service"] 명령어를 이용하여 중지하실 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [WinOriginal] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3EF359D7-0482-406a-8AB0-C3008ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1EF359D7-0482-406A-8AB0-C3008ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2EF359D7-0482-406A-8AB0-C3008ACFD0CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinOriginalc3i008BHO.
WinOriginalc3i008APIClass

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WinOriginalc3i008BHO.
WinOriginalc3i008APIClass.1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3EF359D7-0482-406a-8AB0-C3008ACFD0CF}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WinOriginal

HKEY_LOCAL_MACHINE\SOFTWARE\agir
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDOWS_
WINORIGINAL_UPDATE_SERVICE

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Windows WinOriginal Update Service
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_WINDOWS_WINORIGINAL_UPDATE_SERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows WinOriginal Update Service

해당 프로그램은 프로그램 목록에 제시되지 않는 문제와 생성되는 광고창을 통해 사용자가 어떤 프로그램으로 인한 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.