울지않는벌새 : Security, Movie & Society

검색 도우미 : Window modus

벌새::Analysis

인터넷 검색시 추가적인 광고창을 자동으로 생성하는 검색 도우미 "Window modus" 프로그램(MD5 : 1e82f38819af380f911363377fa76bf4)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) (2011.6.24)

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2 (2011.8.11)

 

  <Right Security Blog> 검색 도우미 : DirectKeyword2 - DirectKeywordUpdateService (2013.3.23)

 

해당 프로그램은 기존의 다이렉트키워드(DirectKeyword) 프로그램의 변형된 버전으로 보이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\Window modus
C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스 / 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\Window modus\WindowmodusUpdateService.exe :: 서비스(WindowmodusUpdateService) 등록 파일 / 메모리 상주 프로세스

"Window modus" 프로그램은 "C:\Documents and Settings\All Users\Application Data\Window modus" 폴더에 파일을 생성합니다.

프로그램은 "WindowmodusUpdateService" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\All Users\Application Data\Window modus\WindowmodusUpdateService.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(WindowmodusUpdateService.exe)은 추가적으로 Window modus.exe 파일을 로딩합니다.

 

또한 시스템 시작시 Window modus.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 및 광고 구성값을 체크합니다.

프로그램이 설치된 환경에서 인터넷 검색시 특정 검색 키워드에 따라 자동으로 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 Window modus.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 Window modus.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

또한 자동 실행되어 메모리에 상주하는 서비스 프로세스(WindowmodusUpdateService.exe)를 종료하기 위해서는 실행창에 [sc stop "WindowmodusUpdateService"] 명령어를 이용하여 종료할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Window modus" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\Window modus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Window modus = "C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Window modus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WindowmodusUpdateService.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Window modus = C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWMODUSUPDATESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WindowmodusUpdateService

 

해당 검색 도우미 프로그램의 이름이 Windows 관련 프로그램처럼 등록되어 사용자가 찾기 어려우며, 인터넷 이용시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.