마이크로소프트(Microsoft) 업체의 프로그램처럼 등록하여 특정 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 검색 도우미 "Window Service" 프로그램(MD5 : 8c0da928824e137438cb81b69500f69f)에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : wlndow update1 (2012.11.13)
해당 프로그램은 "wlndow update(숫자)" 검색 도우미 프로그램과 유사성이 강하므로 참고하시기 바랍니다.
▷ 검색 도우미 : Windows hitlink ad-System [hitlink] (2012.10.17)
▷ 검색 도우미 : Windows topsearch ad-System [topsearch] (2012.10.31)
또한 설치(생성) 파일에서는 ArthanSoft 디지털 서명이 포함되어 있으며, 기존의 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.
C:\Documents and Settings\(사용자 계정)\바탕 화면\노블레스존.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Window Service
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\Window Service\noble.lnk
C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\noble.lnk
C:\Program Files\Window Service
C:\Program Files\Window Service\AdverID.inf
C:\Program Files\Window Service\AtoSystem05.Data.dll
C:\Program Files\Window Service\bnsw2012noble_ico.ico
C:\Program Files\Window Service\GFTP.dll
C:\Program Files\Window Service\lua5.1.dll
C:\Program Files\Window Service\MySql.Data.dll
C:\Program Files\Window Service\Uninstall
C:\Program Files\Window Service\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Window Service\Uninstall\IRIMG1.JPG
C:\Program Files\Window Service\Uninstall\IRIMG2.JPG
C:\Program Files\Window Service\Uninstall\uninstall.dat
C:\Program Files\Window Service\Uninstall\uninstall.xml
C:\Program Files\Window Service\WDGE.exe
C:\Program Files\Window Service\WDGP_Start.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Window Service\WDGP.exe
C:\Program Files\Window Service\WDGS.exe
C:\Program Files\Window Service\WDGUpdate.exe
C:\Program Files\Window Service\wnsw2012noble_widget.jpg
해당 프로그램은 "C:\Program Files\Window Service" 폴더에 파일을 생성하며, "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\noble.lnk" 시작 프로그램 영역에 "noble" 값을 등록하여 시스템 시작시 "C:\Program Files\Window Service\WDGP_Start.exe" 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 WDGP_Start.exe 파일은 "노블레스존"이라는 프로그램 실행을 통해 바탕 화면에 그림과 같은 특정 인터넷 쇼핑몰 광고창을 생성하는 동작을 통해 접속을 유도합니다.
또한 Window Service 프로그램 설치를 통해 특정 FTP 서버에 접속하여 바탕 화면에 "노블레스존" 바로가기 아이콘을 생성하여 특정 인터넷 쇼핑몰에 접속하도록 유도합니다.
바탕 화면에 광고창이 생성되는 광고 동작을 중지하기 위해서는 Windows 작업 관리자를 실행하여 WDGP_Start.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제는 제어판의 "Window Service" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Documents and Settings\(사용자 계정)\바탕 화면\노블레스존.url
- C:\Program Files\Window Service
- C:\Program Files\Window Service\bnsw2012noble_ico.ico
- C:\Program Files\Window Service\wnsw2012noble_widget.jpg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Window Service1.0
"Window Service" 프로그램은 마이크로소프트(Microsoft) 업체의 기본적인 윈도우 서비스(Windows Service) 관련 프로그램으로 착각하도록 구성하고 있으며, 프로그램 삭제 이후에도 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘을 그대로 유지하여 지속적인 홍보 효과를 누리고 있으므로 주의하시기 바랍니다.