[삭제] WindowsCall

Windows 시작 과정에서 광고창(팝업창) 생성이 예상되며 제어판을 통한 삭제 기능을 제공하지 않는 WindowsCall 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 설치 파일(MD5 : 91f7040304d777539e44f89b22cfa801)에 대하여 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Trojan.Win32.Adload.218233 (VirusTotal : 2/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\windowscall
C:\Program Files\windowscall\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\windowscall\windowscall.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스(3분 상주 후 자동 종료)

해당 프로그램은 Windows 시작시 windowscall.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 3분이 경과하면 자동으로 종료되도록 구성되어 있습니다.

이 과정에서 windowscall.exe 파일은 특정 서버에서 광고 정보를 체크하는 동작이 있으며, 테스트 과정에서는 실제 광고 노출은 확인되지 않고 있지만 인터넷 쇼핑몰을 노출시키는 동작이 있을 것으로 예상됩니다.

특히 windowscall.exe 파일이 동작 후 3분 이후에 자동으로 종료된다는 점에서 윈도우 시작 후 시스템 트레이 알림 아이콘 상단에 팝업창 방식으로 광고를 노출하는 것이 아닌가 생각됩니다.

해당 프로그램은 사용자가 삭제를 하지 못하도록 할 목적으로 제어판에 삭제 목록을 등록하지 않는 방식으로 배포가 이루어지고 있는 것으로 확인되고 있으므로 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

(1) Windows 작업 관리자를 실행하여 windowscall.exe 프로세스가 존재할 경우 수동으로 종료하시기 바랍니다.

(2) 윈도우 탐색기에서 "C:\Program Files\windowscall\uninstall.exe" 파일을 클릭하여 프로그램을 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - windowscall = C:\Program Files\windowscall\windowscall.exe
HKEY_LOCAL_MACHINE\SOFTWARE\windowscall

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 삭제 삭제 파일은 생성하지만 제어판에 등록하지 않는 방식으로 삭제를 방해하는 경우가 있으므로 주의하시기 바랍니다.