본문 바로가기

벌새::Analysis

검색 도우미 : Window modus

인터넷 검색시 추가적인 광고창을 자동으로 생성하는 검색 도우미 "Window modus" 프로그램(MD5 : 1e82f38819af380f911363377fa76bf4)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) (2011.6.24)

 

  검색 도우미 : 다이렉트키워드(DirectKeyword) - DirectKeyword2 (2011.8.11)

 

  <Right Security Blog> 검색 도우미 : DirectKeyword2 - DirectKeywordUpdateService (2013.3.23)

 

해당 프로그램은 기존의 다이렉트키워드(DirectKeyword) 프로그램의 변형된 버전으로 보이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\All Users\Application Data\Window modus
C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스 / 프로그램 삭제 파일
C:\Documents and Settings\All Users\Application Data\Window modus\WindowmodusUpdateService.exe :: 서비스(WindowmodusUpdateService) 등록 파일 / 메모리 상주 프로세스

"Window modus" 프로그램은 "C:\Documents and Settings\All Users\Application Data\Window modus" 폴더에 파일을 생성합니다.

프로그램은 "WindowmodusUpdateService" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\All Users\Application Data\Window modus\WindowmodusUpdateService.exe" 파일을 자동으로 실행하도록 구성되어 있습니다.

 

자동 실행된 서비스 파일(WindowmodusUpdateService.exe)은 추가적으로 Window modus.exe 파일을 로딩합니다.

 

또한 시스템 시작시 Window modus.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 및 광고 구성값을 체크합니다.

프로그램이 설치된 환경에서 인터넷 검색시 특정 검색 키워드에 따라 자동으로 추가적인 광고창을 생성하는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 Window modus.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 Window modus.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

또한 자동 실행되어 메모리에 상주하는 서비스 프로세스(WindowmodusUpdateService.exe)를 종료하기 위해서는 실행창에 [sc stop "WindowmodusUpdateService"] 명령어를 이용하여 종료할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "Window modus" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GOMSEK.COM
HKEY_CURRENT_USER\Software\GOMSEK.COM\Window modus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Window modus = "C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Window modus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{FD532C54-FC82-4C97-9E7C-FB4397203A44}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\WindowmodusUpdateService.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2402B2ED-0F0A-4E5F-89A2-8BD09140352C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Window modus = C:\Documents and Settings\All Users\Application Data\Window modus\Window modus.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_
WINDOWMODUSUPDATESERVICE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
WindowmodusUpdateService

 

해당 검색 도우미 프로그램의 이름이 Windows 관련 프로그램처럼 등록되어 사용자가 찾기 어려우며, 인터넷 이용시 원치 않는 광고창이 생성되므로 주의하시기 바랍니다.

  • 독수리 2013.04.03 02:25 댓글주소 수정/삭제 댓글쓰기

    좋은 정보 감사합니다. 이런 쓰레기 프로그램을 만드는 새퀴들은 뭘까요? 여기에 광고질을 해대는 쇼핑몰 업체들도 한심들하고....

  • ㅎㅎ 2013.06.01 08:29 댓글주소 수정/삭제 댓글쓰기

    한달동안 이게 지워지지 않아서 고생했는데 정말 감사합니다

  • 도와주세요.. 2013.12.31 09:19 댓글주소 수정/삭제 댓글쓰기

    안녕하세요. 갑작스런 컴퓨터 문제때문에 검색하다 여기까지 오게 되었는데요. 컴퓨터를 키고 아무 프로그램도 실행 시키지 않은 상태임에도 불구하고 광고소리가 들려요.

    계속 들리는건 아닌데 갑자기 켜져서 들리고 안들릴때도 있고요. 실행되는 프로그램은 없구요.

    컴맹이라 잘 아는 것도 없고해서... 필요하신 정보있으시면 말씀해주시면 바로바로 올려드릴께요.
    부탁드립니다 ㅠㅜ

  • 어캄 2014.09.09 15:49 댓글주소 수정/삭제 댓글쓰기

    윈도우XP 랑 윈도우7 이랑 다른데 어떻하나요

    • 운영 체제가 달라서 프로그램 생성 폴더 위치가 달라질 수 있습니다.

      하지만 삭제는 기본적으로 이 글에서 언급한 프로세스 종료 후 제어판에서 프로그램 삭제를 진행하시거나 그냥 제어판에서 삭제를 진행하셔도 문제없습니다.

      만약 삭제가 정상적으로 이루어지지 않는다면 http://hummingbird.tistory.com/notice/4859 글을 참고하여 문의해 주시기 바랍니다.

  • 어캄 2014.09.09 15:52 댓글주소 수정/삭제 댓글쓰기

    Documents and Settings 이라는 폴더자체가없는데 제어판가서 프로그램삭제 가면
    window modus 가잇서요 어떻하죠? 또삭제할라면 액서스 때문에 삭제가안대요