사용자가 인터넷 검색을 한 키워드 값을 기반으로 Internet Explorer 웹 브라우저 실행시 홈 페이지(시작 페이지)를 변경하는 검색 도우미 "WindowSearch Control" 프로그램에 대해 살펴보도록 하겠습니다.
C:\Program Files\WindowSearch
C:\Program Files\WindowSearch\pco.dat
C:\Program Files\WindowSearch\pt.dat
C:\Program Files\WindowSearch\ptkd.dat
C:\Program Files\WindowSearch\spkd.dat
C:\Program Files\WindowSearch\stp.dat
C:\Program Files\WindowSearch\uninstws.exe :: 프로그램 삭제 파일
C:\Program Files\WindowSearch\wsact.dll :: BHO 등록 파일
C:\Program Files\WindowSearch\wslv.dat
C:\Program Files\WindowSearch\wsstart.exe :: 시작 프로그램 등록 파일
C:\Program Files\WindowSearch\wssvrch.exe
C:\Program Files\WindowSearch\wssvrelv.exe
해당 프로그램은 "C:\Program Files\WindowSearch" 폴더에 파일을 생성하며, Windows 시작시 wsstart.exe 파일을 시작 프로그램으로 등록하여 프로그램 버전을 체크하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 홈 페이지를 "h**p://windowsearch.co.kr/count/urla.asp?url=(사용자 지정 홈 페이지 URL)" 형태로 변경을 시킵니다.(※ 해당 홈 페이지 주소는 프로그램을 삭제하지 않은 상태에서 변경을 할 경우, 시스템 재부팅 후에는 다시 프로그램에서 지정한 주소로 자동 수정됩니다.)
예를 들어 홈 페이지를 네이버(Naver)로 설정한 환경에서는 그림과 같이 "h**p://windowsearch.co.kr/count/urla.asp?url=http://www.naver.com/" 경로를 거쳐서 네이버로 접속이 이루어지는 것을 확인할 수 있으며, 사용자 입장에서는 홈 페이지 주소(URL)가 변경되었는지 쉽게 눈치채지 어렵습니다.
프로그램이 설치된 환경에서 사용자가 "11번가"라는 키워드로 인터넷 검색을 한 후 웹 브라우저를 종료하였다고 가정해 보겠습니다.
그 후 웹 브라우저를 다시 실행하면 사용자가 지정한 네이버(Naver)가 첫 화면으로 제시되지 않고, 1회성으로 "11번가"로 검색된 WindowsSearch 페이지(h**p://search.windowsearch.co.kr/search/search.asp?q=11번가&code=wsearch)가 열리는 동작을 확인할 수 있습니다.
즉, 해당 프로그램은 사용자가 인터넷을 이용하면서 입력한 검색 키워드를 저장하였다가 다음번 웹 브라우저를 실행하였을 경우 해당 키워드를 기반으로 WindowSearch 검색 페이지를 홈 페이지로 오픈하는 동작이 발생합니다.
또 다른 동작으로는 사용자가 인터넷 검색 중 특정 키워드(예 : 지마켓)을 입력한 후 웹 브라우저를 재실행할 경우, 시작 페이지가 1회성으로 지마켓(G마켓)으로 열리는 동작을 확인할 수 있습니다.
해당 연결 과정을 확인해보면 프로그램 설치로 변경된 홈 페이지 주소에서 사용자가 입력한 "지마켓" 키워드를 참조하여 특정 광고 코드(cl.ncclick.co.kr)를 추가한 형태로 강제(click.emforce.co.kr)로 지마켓(G마켓)으로 이동시키는 것을 확인할 수 있습니다.
이름 : NeoStartPageObj Class
게시자 : HOW SOFT
유형 : 브라우저 도우미 개체
CLSID : {EBF3CCAD-8529-439D-A17F-B35ACFC57939}
파일 : C:\Program Files\WindowSearch\wsact.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 wsact.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 홈 페이지 변경을 시도합니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "NeoStartPageObj Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "WindowSearch Control" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 이전 버전에서는 "WindowSearch ver 1.0" 이름으로 등록되어 있을 수 있으므로 참고하시기 바랍니다.)
프로그램 삭제 후에는 추가적으로 "C:\WINDOWS\system32\uninstws.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = (사용자 지정 홈 페이지 URL) :: 변경 전
- Start Page = http://windowsearch.co.kr/count/urla.asp?url=(사용자 지정 홈 페이지 URL) :: 변경 후
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{41CA4347-9881-4D29-A9AB-9D038FF3FC6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\NeoStartPageBHO.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EBF3CCAD-8529-439D-A17F-B35ACFC57939}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{01C60F3C-4254-4ADA-9AEB-7F50B63E1FC2}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NeoStartPageBHO.NeoStartPageObj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NeoStartPageBHO.NeoStartPageObj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{15322904-02D6-4596-B920-87E53B7EB6B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{EBF3CCAD-8529-439D-A17F-B35ACFC57939}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- WindowSearch Service = C:\Program Files\WindowSearch\wsstart.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WindowSearch_is1
HKEY_LOCAL_MACHINE\SOFTWARE\WindowSearch
※ 레지스트리 편집기(regedit) 또는 인터넷 옵션의 홈 페이지 항목 에서 "변경 후" 값은 "변경 전" 값으로 수정을 하시기 바랍니다.
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 반복적인 홈 페이지(시작 페이지) 변경으로 인해 불편이 예상되므로 주의하시기 바랍니다.