해당 프로그램의 설치 파일(MD5 : 84ec653e73c92ee0ca3827900acff240)에 대하여 Microsoft 보안 제품에서는 Program:Win32/WdSearch.A (VirusTotal : 13/42) 진단명으로 진단되고 있습니다.
해당 프로그램은 기존에 다양한 경로를 통해 사용자 PC에 설치가 이루어지고 있으며, 최근에는 제휴(스폰서) 프로그램에서도 꾸준하게 발견되고 있습니다.
[생성 폴더 / 파일 등록 정보]
C:\Documents and Settings\(사용자 계정)\torangcomz_query_list.txt
C:\Program Files\Keyword Search
C:\Program Files\Keyword Search\KeywordSearchUpdater.exe :: 시작 프로그램 등록 파일
C:\Program Files\Keyword Search\torangcomz.dll :: BHO 등록 파일
C:\Program Files\Keyword Search\uninstall.exe :: 프로그램 삭제 파일
[생성 파일 진단 정보]
C:\Program Files\Keyword Search\KeywordSearchUpdater.exe
- MD5 : 3c82182ab4e13cdac60b6f2dc420d54d
- Hauri ViRobot : Adware.Kraddare.134072 (VirusTotal : 14/42)
C:\Program Files\Keyword Search\torangcomz.dll
- MD5 : ebb2728914217b8494da6801a92fbe3e
- Dr.Web : Adware.Torang.1 (VirusTotal : 13/42)
해당 프로그램은 Windows 시작시 KeywordSearchUpdater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 버전 업데이트 체크를 한 후 종료되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통해 특정 사이트에 접속할 경우 웹 브라우저 하단에 [Torang]이라는 광고바가 생성되는 동작을 확인할 수 있습니다.
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
Keyword Search
- 게시자 : torangcommunications
- CLSID : {31A0D938-3055-46BA-8919-59E44E0D7E51}
- 파일 : C:\Program Files\Keyword Search\torangcomz.dll
TorangBand Class
- 게시자 : torangcommunications
- CLSID : {E5C7860B-FC70-4634-ACAB-C70DF2F5292A}
- 파일 : C:\Program Files\Keyword Search\torangcomz.dll
해당 광고바 생성을 원치 않는 분들은 1차적으로 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에서 해당 항목을 선택하여 [사용 안 함]으로 변경을 하시기 바랍니다.
프로세스 정보를 살펴보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 torangcomz.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 모든 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Keyword Search] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\torangcomz_query_list.txt] 파일을 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CURRENT_USER\Software\Keyword Search
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- KeywordSearchUpdater = C:\Program Files\Keyword Search\KeywordSearchUpdater.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\torangcomz.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.TorangBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.TorangBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.torangcomz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.torangcomz.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Keyword Search
국내에서 제작된 유명 소프트웨어 등을 설치할 경우 추가 구성 요소로 설치되는 경우가 많으므로 프로그램을 설치할 때에는 설치 과정에서 꼼꼼하게 살피는 습관을 가지시기 바랍니다.