울지않는벌새 : Security, Movie & Society

검색 도우미 : WinDisplay

벌새::Analysis

즐겨찾기와 바탕 화면에 삭제되지 않는 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 웹 브라우저 창(탭) 종료시 추가적인 광고창을 생성하는 검색 도우미 WinDisplay 프로그램(MD5 : d889fe4df163d648156560834d1df657)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat
C:\Users\(사용자 계정)\AppData\Local\windisplay
C:\Users\(사용자 계정)\AppData\Local\windisplay\11st.ico
C:\Users\(사용자 계정)\AppData\Local\windisplay\auction.ico
C:\Users\(사용자 계정)\AppData\Local\windisplay\favicon.ico
C:\Users\(사용자 계정)\AppData\Local\windisplay\gmarket.ico
C:\Users\(사용자 계정)\AppData\Local\windisplay\ts.dll
C:\Users\(사용자 계정)\AppData\Local\windisplay\windisplay.exe :: 시작 프로그램 등록 파일
C:\Users\(사용자 계정)\AppData\Local\windisplay\windisplayex.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\windisplay\winun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\Desktop\11번가.URL
C:\Users\(사용자 계정)\Desktop\옥션.URL
C:\Users\(사용자 계정)\Desktop\G마켓.URL
C:\Users\(사용자 계정)\Favorites\11번가.URL
C:\Users\(사용자 계정)\Favorites\옥션.URL
C:\Users\(사용자 계정)\Favorites\G마켓.URL
C:\Users\(사용자 계정)\Favorites\Links\11번가.URL
C:\Users\(사용자 계정)\Favorites\Links\옥션.URL
C:\Users\(사용자 계정)\Favorites\Links\G마켓.URL

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\windisplay" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\windisplay\windisplay.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되어 프로그램 업데이트 및 광고 구성값 체크를 한 후  "C:\Users\(사용자 계정)\AppData\Local\windisplay\windisplayex.exe" 파일을 메모리에 상주시킵니다.

 

자동 실행된 windisplayex.exe 파일은 "C:\Users\(사용자 계정)\AppData\Local\Temp\LastTimeCK.dat" 파일 생성을 통한 실행 체크 및 업데이트 체크를 수행합니다.

WinDisplay 프로그램이 설치된 환경에서는 즐겨찾기와 바탕 화면에 11번가, G마켓, 옥션 바로가기 아이콘을 생성합니다.

등록된 바로가기 아이콘을 통해 인터넷 쇼핑몰에 접속할 경우 특정 제휴 코드를 추가하여 연결되는 것을 확인할 수 있습니다.

또한 웹 브라우저 창(탭)을 종료하는 시점에서 windisplayex.exe 파일을 통해 제휴 코드가 추가된 광고창을 자동으로 생성하는 동작을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 windisplayex.exe 프로세스를 통해 이루어지므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 windisplayex.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "windisplay" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 파일을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Users\(사용자 계정)\Desktop\11번가.URL
  • C:\Users\(사용자 계정)\Desktop\옥션.URL
  • C:\Users\(사용자 계정)\Desktop\G마켓.URL
  • C:\Users\(사용자 계정)\Favorites\11번가.URL
  • C:\Users\(사용자 계정)\Favorites\옥션.URL
  • C:\Users\(사용자 계정)\Favorites\G마켓.URL
  • C:\Users\(사용자 계정)\Favorites\Links\11번가.URL
  • C:\Users\(사용자 계정)\Favorites\Links\옥션.URL
  • C:\Users\(사용자 계정)\Favorites\Links\G마켓.URL
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - windisplay = C:\Users\(사용자 계정)\AppData\Local\windisplay\windisplay.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
windisplay
HKEY_CURRENT_USER\Software\windisplay

 

WinDisplay 프로그램은 삭제 이후에도 수익 활동을 지속적으로 유지하기 위하여 즐겨찾기와 바탕 화면에 등록한 인터넷 쇼핑몰 바로가기 아이콘을 삭제하지 않는 문제가 있으므로 사용자가 추가한 바로가기 아이콘이 아닌 경우에는 무조건 삭제하시기 바랍니다.