본문 바로가기

벌새::Analysis

검색 도우미 : 윈드인(WindIn)

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 윈드인(WindIn) 프로그램(MD5 : b6ec87fd4a5d3adaf85823b4d4063db1)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : OpenShopper (2010.5.30)

 

  검색 도우미 : OpenShopper - oplsvc (2011.4.6)

 

  검색 도우미 : 오픈쇼퍼(OpenShopper) - oplsvc + danasegarane (2011.9.17)

 

  검색 도우미 : 오픈키워드(OpenKeyword) (2011.12.21)

 

  검색 도우미 : 스마트팁(SmartTip) (2012.3.25)

 

  검색 도우미 : SmartWeb Control (2012.7.10)

 

해당 프로그램은 기존의 오픈쇼퍼(OpenShopper) 검색 도우미 시리즈와 연관성이 있으므로 참고하시기 바랍니다.

 

최초 설치 과정을 살펴보면 "C:\Program Files\windin\WindInC.exe" 파일을 생성하여 다음과 같은 다운로드를 통해 프로그램을 설치합니다.

 

(1) 특정 서버로부터 WIUpdate[1].exe 파일(MD5 : 73baad5af1c886cdfd922ca8c974d125)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\281562.exe" 파일(※ 해당 파일은 "(6자리 숫자).exe" 패턴입니다.)을 생성하여 WindInC.exe / Uninstall.exe 파일을 업데이트합니다.

(2) 추가적으로 특정 서버로부터 WISetup[1].exe 파일(MD5 : 0b907f57ed9f1b0807bacb6f2d59645b)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\287765.exe" 파일(※ 해당 파일은 "(6자리 숫자).exe" 패턴입니다.)을 생성하여 WindInD.exe / WindInSe.exe / Uninstall.exe 파일을 생성합니다.

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\281562.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\287765.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\license1.txt
C:\Program Files\windin
C:\Program Files\windin\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\windin\Update.dat
C:\Program Files\windin\WindInC.exe :: 시작 프로그램 등록 파일
C:\Program Files\windin\WindInD.exe :: 메모리 상주 프로세스
C:\Program Files\windin\WindInSe.exe :: 메모리 상주 프로세스

이를 통해 설치된 윈드인(WindIn) 프로그램은 "C:\Program Files\windin" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Program Files\windin\WindInC.exe" /RUN] 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우 자동으로 추가적인 광고창이 생성되는 동작을 확인할 수 있습니다.

  검색 도우미 : TabChoice (2012.12.10)

 

해당 광고창 연결과 관련된 URL 값을 확인해보면 "윙고 툴바(WingGo Toolbar)"와 연관성이 있는 것으로 보입니다.

해당 광고 동작은 메모리에 상주하는 WindInD.exe, WindInSe.exe 2개의 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스들을 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "윈드인(WindIn)" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\281562.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\287765.exe

참고로 해당 파일들은 "(6자리 숫자).exe" 패턴이므로 "윈드인(WindIn)" 파일 속성값을 확인하여 찾으시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windin = C:\Program Files\windin\WindInC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\윈드인(WindIn)
HKEY_CURRENT_USER\Software\WindIn

 

해당 프로그램은 인터넷 검색시 원치 않는 광고창을 생성하여 불편을 유발할 수 있으며, 배포 방식이 사용자가 제대로 인지하지 못하는 과정에서 설치될 수 있으므로 주의하시기 바랍니다.