본문 바로가기

벌새::Analysis

검색 도우미 : WindowsTabs 1.0

Internet Explorer 웹 브라우저를 실행할 경우 "새 브라우저 살펴보기(munja79.com/tab)" 웹 사이트를 두 번째 홈 페이지(Secondary Start Pages)로 추가하는 검색 도우미 "WindowsTabs 1.0" 프로그램(MD5 : 1588dd712fbd6bbfdbadebae2b5a9f96)에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\WindowsTabs
C:\Program Files\WindowsTabs\uninst.exe :: 프로그램 삭제 파일
C:\Program Files\WindowsTabs\WindowsTabs.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스

해당 프로그램은 "C:\Program Files\WindowsTabs" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\WindowsTabs\WindowsTabs.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서는 사용자가 지정한 홈 페이지 이외에 두 번째 홈 페이지로 "새 브라우저 살펴보기(munja79.com/tab)" 웹 사이트를 추가하여 자동으로 오픈되도록 되어 있습니다.

 

이를 통해 해당 웹 사이트에 등록된 제휴 코드가 추가된 G마켓, 11번가, 옥션 및 광고 배너를 통해 수익을 창출하는 것으로 보입니다.

특히 메모리에 상주하는 WindowsTabs.exe 프로세스는 사용자가 두 번째 홈 페이지로 등록된 "새 브라우저 살펴보기(munja79.com/tab)"를 삭제하려고 시도할 경우 홈 페이지 보호 기능을 통해 자동으로 복구하는 동작을 수행합니다.

하지만 프로그램이 설치된 PC 환경에서 Visual Studio 2010 관련 라이브러리 파일인 mfc100.dll 파일이 존재하지 않을 경우 "C:\Program Files\WindowsTabs\WindowsTabs.exe" 파일은 정상적으로 동작하지 않는 것으로 확인되고 있으며, 이로 인하여 Windows 부팅시마다 "WindowsTabs.exe - 시스템 오류" 창이 생성됩니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 WindowsTabs.exe 프로세스가 존재할 경우 종료한 후, 제어판에 등록된 "WindowsTabs 1.0" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
 - Secondary Start Pages = http://munja79.com/tab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MAIN
 - Secondary Start Pages = http://munja79.com/tab
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\WindowsTabs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - WindowsTabs.exe = C:\Program Files\WindowsTabs\WindowsTabs.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WindowsTabs

 

최근 다양한 광고 프로그램을 통해 Internet Explorer 웹 브라우저 실행시 광고 기능이 추가된 "새 브라우저 살펴보기" 웹 사이트를 추가하는 사례가 지속적으로 발견되고 있으며, 사용자가 광고 프로그램을 삭제하지 않고 단순히 홈 페이지 주소만을 삭제하는 경우 보호 기능을 통해 지속적으로 웹 사이트 연결이 이루어지도록 하므로 주의하시기 바랍니다.