시작 메뉴, 즐겨찾기, 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘 생성 및 추가적인 프로그램을 다운로드하여 수익을 창출하는 검색 도우미 "Window Viewer" 프로그램(MD5 : 43fd1df8167f9b2e03039439a8871600)에 대해 살펴보도록 하겠습니다.
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11st_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auction_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarket_favicon.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
C:\Program Files\windviewer
C:\Program Files\windviewer\uninstall.exe :: Window Viewer 프로그램 삭제 파일
C:\Program Files\windviewer\windviewer.dll :: BHO(windviewer Class) 등록 파일
C:\Program Files\windviewer\windviewer.exe :: 시작 프로그램(windviewer) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\windviewer\windvieweragent.exe :: 시작 프로그램(windvieweragent) 등록 파일 / 메모리 상주 프로세스
Window Viewer 프로그램은 최초 "C:\Program Files\windviewer" 폴더에 파일을 생성하며, 시작 메뉴, 즐겨찾기, 바탕 화면에 인터넷 쇼핑몰(11번가, G마켓, 옥션) 바로가기 아이콘을 생성합니다.
- h**p://****.**wvo.com/wvo1/setup.exe (MD5 : ae31c517700ad8a7e73397d7afd7cec5) - Microsoft : TrojanDownloader:Win32/Fokeydowrd.A (VirusTotal : 16/44)
프로그램 설치 이후 "C:\Program Files\windviewer\windvieweragent.exe" 파일을 통해 특정 서버로부터 추가적인 파일(setup.exe)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe" 임시 폴더에 생성 후 다음과 같은 2개의 파일을 추가합니다.
C:\Program Files\windviewer\windvo.dll :: BHO(windvo) 등록 파일
C:\Program Files\windviewer\windvo_uninstall.exe :: Windvo 프로그램 삭제 파일
C:\Program Files\windviewer\windvo.dll
- MD5 : c1df418e69c0b678864939daf7f84c17
- AhnLab V3 : PUP/Win32.Addenbar (VirusTotal : 12/44)
이를 통해 "C:\Program Files\windviewer" 폴더에는 Window Viewer 프로그램과 Windvo 프로그램이 각각 설치되는 형태를 가집니다.
프로그램이 설치된 환경에서는 Windows 시작시 windviewer.exe, windvieweragent.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 사용자 Mac Address 값을 기반으로 한 동작(실행) 보고 및 프로그램 버전 체크를 합니다.
1. Window Viewer 프로그램
해당 프로그램은 시작 메뉴, 즐겨찾기, 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며, 해당 아이콘을 클릭하여 접속하는 과정에서 특정 광고 서버를 경유하여 광고 코드(click.clickstory.co.kr)가 추가될 수 있습니다.
또한 예를 들어 사용자가 옥션(Auction)에 접속하여 이용한 후 웹 브라우저를 종료할 경우, 자동으로 옥션(Auction)을 오픈하는 동작을 통해 특정 광고 서버를 경유하는 동작도 확인할 수 있습니다.
이름 : windviewer Class
게시자 : torangcommunications
유형 : 브라우저 도우미 개체
CLSID : {CC34B3C3-3904-4D0E-8035-536715B28BBA}
파일 : C:\Program Files\windviewer\windviewer.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 windviewer.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "windviewer Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
2. Windvo.dll 프로그램
Window Viewer 프로그램을 통해 추가적으로 설치되는 Windvo 프로그램은 사용자가 인터넷 검색을 통해 특정 검색 결과에 접속하는 과정에서 특정 광고 코드를 추가하는 동작을 확인할 수 있습니다.
접속 과정을 세부적으로 확인해보면 사용자가 포털 사이트 검색을 통해 접속시 특정 광고 서버를 경유하는 과정에서 광고 코드가 추가되며, 접속 완료 이후에는 해당 검색 사이트의 링크 영역에 마우스를 위치할 경우 "h**p://**wvo.com/wvo1/ovn_move.asp?..."로 표시되는 것을 확인할 수 있습니다.(※ 최초 검색 사이트에서 링크를 클릭하기 이전에는 해당 URL 주소는 표시되지 않습니다.)
이름 : windvo
게시자 : torangcommunications
유형 : 브라우저 도우미 개체
CLSID : {CC01FC6C-DB8B-47FF-ACBF-6752181FA0F1}
파일 : c:\Program Files\windviewer\windvo.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 windvo.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "windvo" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
이제 Window Viewer 및 Windvo 프로그램의 삭제 방법을 자세하게 살펴보도록 하겠습니다.
우선 Window Viewer 프로그램은 시스템 시작시 자동 실행되어 메모리에 상주하는 windviewer.exe, windvieweragent.exe 2개의 프로세스가 존재합니다.
그런데 사용자가 프로세스 종료를 위해 windviewer.exe 프로세스를 먼저 종료할 경우 자가 보호 기능으로 인해 windvieweragent.exe 프로세스를 통해 재실행되는 동작을 확인할 수 있습니다.
그러므로 프로세스 종료를 위해서는 Windows 작업 관리자를 실행하여 "windvieweragent.exe → windviewer.exe" 프로세스 순으로 종료를 진행하시기 바랍니다.
그 이후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Window Viewer" 삭제 항목을 이용하여 프로그램을 삭제하면 "C:\Program Files\windviewer" 폴더 및 내부 파일은 일괄적으로 삭제 처리가 이루어집니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- windviewer = C:\Program Files\windviewer\windviewer.exe
- windvieweragent = C:\Program Files\windviewer\windvieweragent.exe
HKEY_CURRENT_USER\Software\windviewer
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-DB8B-47FF-ACBF-6752181FA0F1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC34B3C3-3904-4D0E-8035-536715B28BBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{58F1CAEE-ADFF-46EF-9214-992DD31745CE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2F09A1A5-7C32-4752-A77F-AB4261C5E242}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windvo.windvo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC01FC6C-DB8B-47FF-ACBF-6752181FA0F1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CC34B3C3-3904-4D0E-8035-536715B28BBA}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Window Viewer
하지만 해당 프로그램의 광고 기능을 수행하는 인터넷 쇼핑몰 바로가기 아이콘은 여전히 존재하여 지속적인 수익 창출이 가능하므로 추가적으로 다음의 파일들은 찾아 수동으로 삭제하시기 바랍니다.
(1) 시작 메뉴에 등록된 G마켓, 11번가, 옥션 바로가기 아이콘을 제거하시기 바랍니다.
(2) 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
- C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
- C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\11st_favicon.ico
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\auction_favicon.ico
- C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\gmarket_favicon.ico
- C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe
- C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.lnk
- C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.lnk
- C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.lnk
참고로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\setup.exe" 파일은 게시글 상단의 그림을 참고하여, 동일한 아이콘 모양을 찾아 삭제하시기 바랍니다.
이번 경우와 같이 인터넷 쇼핑몰 바로가기 아이콘 생성을 통해 외형적으로 확인되는 광고 동작 이외에 추가적으로 설치되는 Windvo 프로그램의 광고 동작은 쉽게 확인되지 않는 부분이 있으므로 주의하시기 바랍니다.