국내에서 제작된 광고성 프로그램으로 제어판을 통한 삭제를 지원하지 않는 MicrowindowSearch 프로그램에 대해 살펴보도록 하겠습니다.
[생성 폴더 / 파일 등록 정보]
C:\WINDOWS\system32\MicrowindowSearch C:\WINDOWS\system32\MicrowindowSearch\FreeApp.exe C:\WINDOWS\system32\MicrowindowSearch\makeguid.dll C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch Update Log.txt C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.dat C:\WINDOWS\system32\MicrowindowSearch\MicrowindowSearch.exe :: 시작 프로그램 등록 파일 C:\WINDOWS\system32\MicrowindowSearch\unins000.dat C:\WINDOWS\system32\MicrowindowSearch\unins000.exe :: 프로그램 삭제 파일 C:\WINDOWS\system32\WindowServiceNT.exe :: Application Special Management 서비스 등록 파일
참고로 실행된 파일은 특정 광고 업데이트 서버에 접속하여 MicrowindowSearch.ts1 파일을 체크하도록 되어 있습니다.
또한 시스템 시작시 서비스에 등록된 "Application Special Management" 항목을 통해 "C:\WINDOWS\system32\WindowServiceNT.exe" 파일을 실행하도록 구성되어 있습니다.
서비스를 통해 실행된 WindowServiceNT.exe 파일 역시 특정 광고 업데이트 서버에 접속하는 동작을 확인할 수 있습니다.
참고로 해당 프로그램이 등록한 "Application Special Management" 서비스 항목은 Windows 기본 서비스 중 "AppMgmt(Application Management)"와 유사하게 등록하여 사용자가 정상적인 서비스로 오해를 유발할 수 있으므로 주의하시기 바랍니다.
해당 프로그램이 업데이트 체크를 할 때마다 기록되는 로그(Log)를 확인해보면 고의적으로 제어판에 등록하는 프로그램 삭제 레지스트리 값(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ MicrowindowSearch_is1)을 삭제하여 제어판 삭제 목록에 MicrowindowSearch 프로그램이 표시되지 않도록 하는 동작을 확인할 수 있습니다.
그러므로 프로그램 삭제를 위해서는 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.
프로그램 삭제는 윈도우 탐색기를 통해 "C:\WINDOWS\system32\MicrowindowSearch\unins000.exe" 파일을 찾아 수동으로 실행을 하면 "MicrowindowSearch 제거" 창이 생성됩니다.
