본문 바로가기

벌새::Analysis

검색 도우미 : 클린미니(CleanMini)

반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 좌측 사이드바 형태로 관련 추천 사이트 등의 광고가 노출되는 것으로 추정되는 검색 도우미 클린미니(CleanMini) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 Mini Search 프로그램과 유사성이 강하므로 참고하시기 바라며, 설치 파일(MD5 : 82db232357bc930dcb4dc418f9020870)에 대하여 NOD32 보안 제품에서는 a variant of Win32/Adware.Kraddare.E (VirusTotal : 7/42) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.

해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search] 폴더에 파일을 생성하고 있으며, Windows 시작시 cupdater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서의 기본적인 동작 방식은 사용자가 인터넷 검색시 프로그램에서 지정한 관련 검색어 관련 추천 사이트 광고바를 웹 브라우저 사이드바 형태로 생성하는 동작이 있을 것으로 보입니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

클린미니

 - 게시자 : SearchLink Co., Ltd.
 - CLSID : {5C37D210-53F7-4BD0-82CE-479A942BF26F}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search\cbho.dll

클린미니
 - 게시자 : SearchLink Co., Ltd.
 - CLSID : {99C7E5C5-23C5-4E03-BF8F-E3167424CF7D}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search\cbar.dll


프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행시 iexplore.exe 프로세스에 cbho.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


해당 프로그램의 삭제는 그림과 같이 제어판의 [클린미니] 삭제 항목이 존재하지만 실제 삭제를 시도할 경우 정상적으로 삭제되는 것처럼 진행됩니다.

하지만 사용자 시스템 환경에 따라서는 프로그램 삭제가 전혀 이루어지지 않고 있으므로, 프로그램 삭제에 실패하시는 분들은 다음과 같은 절차에 따라 수동으로 삭제를 하시기 바랍니다.

먼저 실행 중인 모든 Internet Explorer를 종료한 상태에서 다음의 폴더(파일), 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

C:\Mini Search
C:\Mini Search\Temp
C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search
[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{5C37D210-53F7-4BD0-82CE-479A942BF26F}
HKEY_CLASSES_ROOT\CLSID\{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_CLASSES_ROOT\CLSID\{99C7E5C5-23C5-4E03-BF8F-E3167424CF7D}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{03650ADB-DDC4-4F6F-BFC1-AE81E5F824F2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{109AA1F9-DCC0-4744-B82F-3A29515AAAD9}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{225C1D71-13D3-4452-B235-85199A3C29C2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{668F8B2E-8C37-4C38-A78E-8CB206AB0C1F}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_CURRENT_USER\Software\Mini Search
HKEY_LOCAL_MACHINE\software\GamesumPkg
HKEY_LOCAL_MACHINE\software\GamesumPkg\클린미니
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{99C7E5C5-23C5-4E03-BF8F-E3167424CF7D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C37D210-53F7-4BD0-82CE-479A942BF26F}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\
{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - 클린미니 = "C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search\cupdater.exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\클린미니
HKEY_LOCAL_MACHINE\software\Mini Search

해당 프로그램은 프로그램 이름(클린미니), 설치 폴더 이름(Mini Search), 프로그램 설치 폴더 위치가 복잡하게 구성되어 있어서 사용자가 프로그램에 대해 인지하기 매우 어려우며, 사용자 시스템 환경에 따라 프로그램이 정상적으로 삭제되지 않는 문제가 있으므로 주의가 요구됩니다.
728x90
반응형