본문 바로가기

벌새::Analysis

검색 도우미 : Buddy Search + Windows IE ADCTRL Pack 2

반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 좌측에 스폰서 링크 광고 관련 사이드바를 생성하는 검색 도우미 Buddy Search 프로그램에 대해 살펴보도록 하겠습니다.

해당 Buddy Search 프로그램은 이전에 한 차례 분석을 하였으며, 이번 배포의 경우에는 추가적으로 프로그램 업데이트와 관련된 것으로 추정되는 Windows IE ADCTRL Pack 2 프로그램이 함께 설치되며, Buddy Search 프로그램의 파일, 레지스트리 정보가 변경된 버전으로 확인이 되었습니다.

해당 프로그램을 설치할 경우 다음의 경로를 통해 Buddy Search, Windows IE ADCTRL Pack 2 프로그램 설치 파일을 다운로드하므로 참고하시기 바랍니다.

  • h**p://app.***protect.co.kr/files/appsafer.exe :: Windows IE ADCTRL Pack 2
  • h**p://down1.buddysearch.buddy*****.co.kr/Update22/BuddySetup.exe :: Buddy Search
[생성 파일 등록 정보]

C:\Buddy Search
C:\Buddy Search\Temp
C:\Mini Search
C:\Mini Search\Temp
C:\Program Files\Buddy Search\buddy_appsafer.exe :: Windows IE ADCTRL Pack 2 시작 프로그램 등록 파일
C:\Program Files\Buddy Search\diUnInstall.exe :: Windows IE ADCTRL Pack 2 프로그램 삭제 파일
C:\Program Files\Buddy Search\Setup.exe
C:\Program Files\Buddy Search\updater765.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\Temp
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\Update
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\ads.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbar.dll
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbho.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\BuddySetup.exe :: Buddy Search 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\dss.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\msengine.dll
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\nads.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\osb.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\rec.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\version.txt

프로그램이 설치되면 [C:\Program Files\Buddy Search] 폴더에 Windows IE ADCTRL Pack 2 프로그램 관련 파일이 생성되며, Buddy Search 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search] 폴더에 생성되어 쉽게 찾지 어려울 수 있습니다.

특히 프로그램 목록에 해당 프로그램들이 등록되지 않으므로 사용자는 프로그램 설치 여부를 확인하기 매우 어렵습니다.

이들 프로그램은 Windows 시작시 buddy_appsafer.exe, BuddySetup.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.


해당 프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색시 웹 브라우저 좌측에 스폰서 링크 관련 추천 사이트를 사이드바 형태로 노출시키는 것을 확인할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

ClientMetaSearch Control
 - 게시자 : OPEN.co., ltd
 - CLSID : {89FBF526-AB75-4D2D-AB79-C64221C7F354}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\msengine.dll

Buddy Search
 - 게시자 : OPEN.co., ltd
 - CLSID : {2648CFB9-58EE-4EF0-B5B8-8A09B42A072A}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbho.dll

Buddy Search
 - 게시자 : OPEN.co., ltd
 - CLSID : {4659B9F5-4C02-4BAF-B1F1-2DC1337C698D}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbar.dll

해당 프로그램은 Internet Explorer 실행시 iexplore.exe 프로세스에 bdbho.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


해당 프로그램은 제어판에서 [Buddy Search], [Windows IE ADCTRL Pack 2] 삭제 항목을 제시하여 프로그램 삭제를 지원하고 있지만, 테스트 PC 환경에서는 프로그램 삭제가 이루어지지 않는 것으로 보입니다.

그러므로 사용자는 제어판을 통한 삭제가 정상적으로 이루어지지 않을 경우에는 폴더, 파일, 레지스트리 항목을 참고하여 수동으로 삭제하시기 바라며, 프로그램 삭제시에는 반드시 Internet Explorer를 완전히 종료한 상태에서 진행하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{2648CFB9-58EE-4EF0-B5B8-8A09B42A072A}
HKEY_CLASSES_ROOT\CLSID\{4659B9F5-4C02-4BAF-B1F1-2DC1337C698D}
HKEY_CLASSES_ROOT\CLSID\{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_CURRENT_USER\Software\Buddy Search
HKEY_CURRENT_USER\Software\Microsoft\etcman
HKEY_CURRENT_USER\Software\Microsoft\hanaro_appsafer
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{03650ADB-DDC4-4F6F-BFC1-AE81E5F824F2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{109AA1F9-DCC0-4744-B82F-3A29515AAAD9}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{225C1D71-13D3-4452-B235-85199A3C29C2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{668F8B2E-8C37-4C38-A78E-8CB206AB0C1F}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - buddy_appsafer = C:\Program Files\Buddy Search\buddy_appsafer.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\
hanaro_appsafer

HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{4659B9F5-4C02-4BAF-B1F1-2DC1337C698D}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{2648CFB9-58EE-4EF0-B5B8-8A09B42A072A}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - Buddy Search = "C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\BuddySetup.exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Buddy Search

인터넷을 이용하는 과정에서 원치 않는 사이드바 광고로 고생하시는 분들은 참고하시기 바랍니다.
728x90
반응형