시스템 트레이 알림 아이콘 상단에 주기적으로 팝업창을 생성하는 검색 도우미 wowlink 프로그램에 대해 살펴보도록 하겠습니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink\wowlink.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink" 폴더에 파일을 생성합니다.
GET /config.php HTTP/1.1
Content-Type: text/html
Host: wow-link.net
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
Windows 시작시 wowlink.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 특정 서버로부터 파일 다운로드(추정) 및 팝업창 동작 명령을 전송받습니다.
광고 기능을 살펴보면 시스템 시작 후 최초 5분이 경과하면 시스템 트레이 알림 아이콘 상단에 "WOW 추천 링크" 팝업창을 생성하며, 그 후부터는 30분 주기로 팝업창을 생성할 것으로 추정됩니다.
참고로 해당 광고를 클릭할 경우 특정 광고 코드(adnclick.com)를 추가하여 광고창이 생성됩니다.
해당 광고 기능은 자동 실행된 wowlink.exe 파일이 메모리에 상주하여 팝업창을 생성하므로, 프로그램 삭제시에는 Windows 작업 관리자에서 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "wowlink" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink" 폴더를 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- wowlink = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\wowlink\wowlink.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\wowlink
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
wowlink
해당 프로그램은 프로그램 목록에 제시되지 않는 문제와 생성되는 팝업창으로 어떤 프로그램 설치로 인한 문제인지 쉽게 확인하기 어려우므로 주의하시기 바랍니다.