울지않는벌새 : Security, Movie & Society

검색 도우미 : Windiscover V1.1.0.1

벌새::Analysis

바탕 화면, 즐겨찾기, 시작 메뉴에 인터넷 쇼핑몰 바로가기 아이콘 생성 및 인터넷 검색시 광고창을 생성하는 검색 도우미 "Windiscover V1.1.0.1" 프로그램(MD5 : f771f9e820f2961078c075ed9b5ad0ad)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned
C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu
C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\11번가.url
C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\G마켓.url
C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\0to7.url
C:\Documents and Settings\(사용자 계정)\Favorites\114플라워.url
C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS Shop.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\LG 패션샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\Links
C:\Documents and Settings\(사용자 계정)\Favorites\Links\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\Links\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\Links\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\NS Mall.url
C:\Documents and Settings\(사용자 계정)\Favorites\Yes24.url
C:\Documents and Settings\(사용자 계정)\Favorites\라츠mall.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데닷컴.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데아이몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\바보사랑.url
C:\Documents and Settings\(사용자 계정)\Favorites\보리보리.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\오가게.url
C:\Documents and Settings\(사용자 계정)\Favorites\오케이플라워.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\원어데이.url
C:\Documents and Settings\(사용자 계정)\Favorites\이마트몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\인터넷 교보문고.url
C:\Documents and Settings\(사용자 계정)\Favorites\자유투어.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\11번가.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\G마켓.url
C:\Documents and Settings\(사용자 계정)\시작 메뉴\옥션.url
C:\Program Files\11st.ico
C:\Program Files\auction.ico
C:\Program Files\babosarang.ico
C:\Program Files\boribori.ico
C:\Program Files\emart.ico
C:\Program Files\gmarket.ico
C:\Program Files\gsshop.ico
C:\Program Files\kyobobook.ico
C:\Program Files\lgfashionshop.ico
C:\Program Files\lotsshop.ico
C:\Program Files\lotte.ico
C:\Program Files\lotteimall.ico
C:\Program Files\mall_shinsegae.ico
C:\Program Files\nsmall.ico
C:\Program Files\ogage.ico
C:\Program Files\oneaday.ico
C:\Program Files\windiscover
C:\Program Files\windiscover\wdc_uninstaller.exe :: 프로그램 삭제 파일
C:\Program Files\windiscover\windiscover.exe :: 시작 프로그램(windiscover) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\windiscover\wsupd.exe :: 시작 프로그램(wsupd) 등록 파일
C:\Program Files\yes24.ico

 

해당 프로그램은 "C:\Program Files\windiscover" 폴더에 파일을 생성하며, Windows 시작시 windiscover.exe, wsupd.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 wsupd.exe 파일은 프로그램 업데이트 체크를 한 후 자동 종료되며, windiscover.exe 파일은 광고 구성값 체크를 통해 메모리에 상주하도록 제작되어 있습니다.

또한 "Windiscover V1.1.0.1" 프로그램 설치를 통해 즐겨찾기(즐겨찾기 모음, Links(연결) 포함), 바탕 화면, 시작 메뉴 영역에 11번가, G마켓, 옥션을 비롯한 다수의 인터넷 쇼핑몰 바로가기 아이콘을 등록하여 수익을 창출합니다.

"Windiscover V1.1.0.1" 프로그램은 사용자가 인터넷 검색 활동을 하는 과정에서 검색 키워드 값을 모니터링하여 웹 브라우저를 종료하는 시점에서 검색 키워드 값에 매칭되는 광고창을 후팝업 방식으로 생성합니다.

해당 광고창 생성 동작은 메모리에 상주하는 windiscover.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 windiscover.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판의 "Windiscover V1.1.0.1" 프로그램을 통해 삭제할 수 있도록 지원하고 있지만, 실제 프로그램 삭제를 진행하면 다음의 2개의 파일만 삭제 처리를 합니다.

  • C:\Program Files\windiscover\windiscover.exe
  • C:\Program Files\windiscover\wsupd.exe

그러므로 프로그램 삭제 이후에도 인터넷 쇼핑몰 바로가기 아이콘을 통해 지속적인 수익 창출 행위가 이루어지므로, 다음의 내용을 참고하여 추가적으로 삭제를 진행하시기 바랍니다.

 

(1) 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned
  • C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu
  • C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Application Data\User Pinned\StartMenu\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\0to7.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\114플라워.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\GS Shop.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\LG 패션샵.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\Links
  • C:\Documents and Settings\(사용자 계정)\Favorites\Links\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\Links\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\Links\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\NS Mall.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\Yes24.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\라츠mall.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\롯데닷컴.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\롯데아이몰.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\바보사랑.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\보리보리.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\신세계몰.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\11번가.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\연결\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\오가게.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\오케이플라워.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\원어데이.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\이마트몰.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\인터넷 교보문고.url
  • C:\Documents and Settings\(사용자 계정)\Favorites\자유투어.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.url
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\11번가.url
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\G마켓.url
  • C:\Documents and Settings\(사용자 계정)\시작 메뉴\옥션.url
  • C:\Program Files\11st.ico
  • C:\Program Files\auction.ico
  • C:\Program Files\babosarang.ico
  • C:\Program Files\boribori.ico
  • C:\Program Files\emart.ico
  • C:\Program Files\gmarket.ico
  • C:\Program Files\gsshop.ico
  • C:\Program Files\kyobobook.ico
  • C:\Program Files\lgfashionshop.ico
  • C:\Program Files\lotsshop.ico
  • C:\Program Files\lotte.ico
  • C:\Program Files\lotteimall.ico
  • C:\Program Files\mall_shinsegae.ico
  • C:\Program Files\nsmall.ico
  • C:\Program Files\ogage.ico
  • C:\Program Files\oneaday.ico
  • C:\Program Files\windiscover
  • C:\Program Files\windiscover\wdc_uninstaller.exe
  • C:\Program Files\yes24.ico

(2) 프로그램 목록에 등록된 11번가, G마켓, 옥션 바로가기 메뉴를 마우스 우클릭을 통한 삭제 방식으로 제거하시기 바랍니다.

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 값이 존재할 경우 삭제를 하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages =
HKEY_CURRENT_USER\Software\Microsoft\windiscover
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windiscover = C:\Program Files\windiscover\windiscover.exe
 - wsupd = C:\Program Files\windiscover\wsupd.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
WinDiscover

 

이번 프로그램처럼 다수의 인터넷 쇼핑몰 바로가기 아이콘을 등록하였다가 프로그램 삭제시 정상적으로 삭제하지 않는 방식으로 지속적인 금전적 수익을 유지하는 경우를 종종 목격할 수 있으므로 주의하시기 바랍니다.