본문 바로가기

벌새::Analysis

검색 도우미 : 윈도우즈탭(WindowsTab)

반응형

Internet Explorer 웹 브라우저 실행시 About-Tab 페이지로 자동 이동되며, 인터넷 검색 과정에서 순위 가격 비교(SoonWe) 사이트가 연결되는 검색 도우미 윈도우즈탭(WindowsTab) 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 087e1082379765eb0f7506ffab820021)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.WindowTap.614816 (VirusTotal : 6/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\WindowsTab :: 숨김(H) 속성 폴더
C:\Documents and Settings\All Users\Application Data\WindowsTab\uninst.exe :: 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\WindowsTab\windowstab.exe :: 메모리 상주 프로세스
C:\Documents and Settings\All Users\Application Data\WindowsTab\windowstabup.exe :: 시작 프로그램 등록 파일 

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\All Users\Application Data\WindowsTab" 폴더에 파일을 생성하며, Windows 시작시 windowstabup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

GET /app/auction21/info/infow.php?pt=partner1 HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Accept: text/html, */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0;)
Host: ***.muuk.co.kr
Connection: Keep-Alive

자동 실행된 windowstabup.exe 파일은 특정 서버에 접속하여 업데이트 체크 및 Mac Address 정보를 체크하며, 차후 업데이트 기능을 통해 추가적인 프로그램 설치 가능성이 존재합니다. 

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행하면 자동으로 About-Tab 페이지로 연결을 시도하며, 자주 방문하는 사이트 목록 중 옥션, 11번가, G마켓 바로가기 링크의 경우 특정 광고 코드가 추가되어 있는 것으로 확인이 됩니다.(※ 시작 페이지(홈 페이지)가 "빈 페이지(about:blank)" 설정인 경우에만 동작하는 것으로 추정됩니다.) 

또한 인터넷 검색시 특정 검색어에 따라 사용자가 입력한 키워드 값을 참조하여 추가적인 새 탭이 생성되는 동작을 확인할 수 있습니다. 

새 탭 방식으로 생성된 페이지는 순위 가격 비교(SoonWe) 광고 페이지로 사용자의 인터넷 검색 과정에서 반복적으로 생성되어 불편을 유발할 수 있습니다. 

해당 프로그램의 광고 동작은 메모리에 상주하는 windowstab.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자에서 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "WindowsTab Uninstall" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\All Users\Application Data\WindowsTab" 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - WindowsTab = "C:\Documents and Settings\All Users\Application Data\WindowsTab\windowstabup.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\WindowsTab
HKEY_CURRENT_USER\Software\WindowsTab 

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용 과정에서 원치 않는 페이지 이동으로 불편을 겪을 수 있으므로 주의하시기 바랍니다.

728x90
반응형
  • mzil 2012.06.04 23:58 댓글주소 수정/삭제 댓글쓰기

    이것땜에 짜증나서 계속 검색했었는데
    딴데서는 딴소리만하고..
    님 정말 감사해요~~정말 큰 도움이 됐습니다!

  • 어바웃탭에서 제공하는 언인스톨러로는 안먹혀서 여기저기 찾고있었는데, 이방법으로 하니 확실히 지워지네요. 감사합니다ㅋㅋ

  • 이상하게도..검색어에 잘안뜨네요..
    블로그에 주소만 퍼갑니다. 내용모두 퍼가면..저작권이 있을것 같아서..

  • 이거악성코드같은거임

  • 감사합니다. 2013.05.25 19:20 댓글주소 수정/삭제 댓글쓰기

    진심으로 감사합니다 ㅜㅜ 이것때문에 저 컴퓨터 날리도 아니였어요 ;; 인터넷 키면 광고창이 3개가 떠서 ;; 자료찾을때 정말 답이 없었어요 ;;

  • 질문좀 2013.05.30 18:40 댓글주소 수정/삭제 댓글쓰기

    windowstab.exe 항목을 삭제할 수 없습니다. 잘못된 파일 핸들입니다.
    라고 뜨는데 어떻게 해야되나요?ㅜㅜ

    • 삭제 전에 Windows 작업 관리자에서 windowstab.exe 프로세스를 찾아 종료하시고 진행해 보시기 바랍니다.

    • ㅜㅜ 2013.07.13 16:56 댓글주소 수정/삭제

      이렇게 했는데도 안될경우 혹시 다른방법있나요? ㅜㅜ
      windowstab 폴더 자체가 있는것이 아니라 시작메뉴폴더 안에 windowstab_uc 라는게 있어용

    • http://hummingbird.tistory.com/4747

      최근에는 WindowsTab 프로그램이 변경되었더군요. 새로운 분석 정보를 참고하시기 바랍니다.

  • 채어니 2013.05.31 01:25 댓글주소 수정/삭제 댓글쓰기

    어느날 갑자기 11번가 사이트 탭이 저절로 뜨기 시작하면서, 사람 신경을 있는대로 건드려서 부아 돋게 만들더니만, windowstab이란 악질이 문제였었네요! 근데, 저는 포털 자료실 등에서 프리웨어 등을 다운받을 때 의도하지 않은 것들이 설치되는 것을 굉장히 주의하는데(가만 보면 치사하게 스크롤을 내려야만 설치 여부를 알 수 있게 만든 것들이 많아요!), 도대체 어디서 이런 게 걸려왔는지 알 길이 없네요. ㅠㅠ
    님 덕분에 날려버렸네요. 정말 감사합니다!


    p.s : 저런 거 만든 사람들, 누군가에게 흠씬 두들겨 맞았으면 진짜로 좋겠습니다....
    터질 때까지......

    • 고생 많이 하셨습니다.ㅠㅠ 보통 말씀처럼 주의 깊게 본다고 해도.. 처음 설치할 때는 정상인데 어느날 갑자기 동의없이 설치되는 경우도 있습니다. 아마 그런 경우가 아니였나 생각됩니다.

  • 아 ㅠㅠㅠ 없네여. windowstab폴더라는 것은 잇는 데여. 근데 제어판가서 프로그램 추가 제거에서는 없네여.......... windowstab폴더를 삭제를 시도 해도 안돼여~! 이거 왜 이런거 예여? 궁금합니다. 도데체? 어떻게 먹은 프로그램이길레여.

  • 행인 2013.06.11 18:25 댓글주소 수정/삭제 댓글쓰기

    감사합니당

  • ㅠㅠ 2013.06.15 21:05 댓글주소 수정/삭제 댓글쓰기

    실수로 unilstall되있는걸지웠음요??

    • 프로그램을 통해 삭제가 되지 않는다면 생성 폴더(파일), 레지스트리 값을 하나씩 찾아서 직접 삭제하셔도 됩니다.

  • 제이 2013.07.26 22:40 댓글주소 수정/삭제 댓글쓰기

    님 덕분에 진짜 쓸데없는 악성코드들 많이 지우고 갑니다~ 감사합니다

  • 코다 2014.02.01 23:28 댓글주소 수정/삭제 댓글쓰기

    고맙습니다~ 지금 하나하나 레지스트리 지워나가고 있어요ㅠㅠ 많은 도움 받았습니다!

  • 갓뎀 2016.03.18 19:15 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 프로그렘 추가제어에서는 지웠습니다만 어플리케이션 데이타 폴더가 제 컴퓨터에 없는데요ㅠㅠ 오래 된 컴퓨터라 많이 맛이 간(?) 상태라... 이렇게만 해둬도 괜찮을까요