본문 바로가기

벌새::Analysis

검색 도우미 : WindowsClick

인터넷 검색 키워드 값을 참조하여 백그라운드 방식으로 광고창을 생성하는 검색 도우미 WindowsClick 프로그램(MD5 : 2dea87b9acfbd1db9d1aa7433aad0d7e)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\windowsclick
C:\Documents and Settings\(사용자 계정)\Application Data\windowsclick\UnInstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Application Data\windowsclick\windowsclick.exe :: 예약 작업(Helps when searching and shopping.) 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\windowsclick\windowsclickU.exe :: 예약 작업(Web Search Companion Updater) 등록 파일
C:\WINDOWS\Tasks\windowsclick.job
C:\WINDOWS\Tasks\windowsclickU.job

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가진 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Application Data\windowsclick" 폴더에 파일을 생성하며, 시스템 로그온 실행시 "예약 작업(C:\WINDOWS\Tasks)" 영역에 등록한 windowsclick.job(Helps when searching and shopping.), windowsclickU.job(Web Search Companion Updater) 2개의 항목을 통해 자동 실행되도록 구성되어 있습니다.

 

자동 실행된 windowsclickU.exe 파일은 프로그램 버전 체크를 하며, windowsclick.exe 파일은 메모리에 상주하도록 구성되어 있습니다.

 

 

프로그램이 설치된 환경에서는 인터넷 검색 과정에서 사용자가 입력한 키워드 값 감시를 통해 추가적인 광고창을 생성하며, 해당 광고창은 일명 후팝업 방식으로 검색창을 종료시 상단에 노출되도록 제작되어 있습니다.

 

해당 광고 동작의 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 windowsclick.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

 

프로그램 삭제시에는 제어판의 "windowsclick Uninstall" 삭제 항목을 이용하여 삭제를 진행할 수 있으며, 삭제 과정에서 제시되는 4자리 "영문+숫자"를 입력하여 삭제를 완료하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\popkey
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
windowsclick
HKEY_CURRENT_USER\Software\windowsclick

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 프로그램 실행이 일반적인 프로그램과는 다르게 예약 작업 영역에 등록하여 실행되므로 참고하시기 바랍니다.