본문 바로가기

벌새::Analysis

[삭제] Searchhost

반응형
제휴(스폰서) 프로그램과 같은 경로를 통해 배포가 이루어지는 프로그램 중에서는 실제 사용자가 프로그램이 설치되는지 제대로 인식하지 못하는 과정에서 설치되거나 정확한 기능을 알 수 없는 프로그램이 설치되는 경우가 다반사일 것으로 판단됩니다.

최근 기능을 알 수 없는 "조이찬스(JoyChance)"라는 이름으로 설치된 경우, 사용자가 프로그램에서 제공하는 삭제 기능을 이용하여 삭제 후에도 여전히 시작 프로그램에 등록하여 차후 추가적인 다운로드가 있을 것으로 추정되는 Searchhost 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Searchhost
C:\Program Files\Searchhost\BKeeper.dll
C:\Program Files\Searchhost\searchhost.dat
C:\Program Files\Searchhost\Searchhost.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Searchhost\SearchhostUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\Searchhost\Uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\remover.exe

해당 프로그램은 [C:\Program Files\Searchhost] 폴더에 파일을 생성하며, Windows 시작시 Searchhost.exe, SearchhostUpdate.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

또한 Windows 방화벽에 Searchhost, SearchhostUpdate라는 이름을 예외 프로그램에 등록하여, 시작 프로그램에 등록된 Searchhost.exe, SearchhostUpdate.exe 파일이 방화벽에서 차단되지 않도록 예외 처리를 하고 있습니다.

프로그램이 설치된 환경에서 Searchhost.exe 프로세스가 메모리에 상주하며, 해당 파일은 "Windows 검색 작업 관리자"로 등록되어 있는 것을 확인할 수 있습니다.

참고로 Searchhost.exe 파일은 시작 프로그램으로 등록되어 프로그램 버전 및 부팅 카운터 체크 동작을 하고 있습니다.

또 다른 시작 프로그램으로 등록된 SearchhostUpdate.exe 파일은 시스템 시작시마다 특정 서버에 접속하여 추가적인 번들(Bundle) 프로그램(제휴/스폰서)을 체크하는 동작을 확인할 수 있습니다.

이를 종합해볼 때 실제 해당 프로그램은 사용자에게 유용한 기능을 제공하기 보다는 차후 사용자 몰래 추가적인 프로그램을 설치하거나 업데이트 창을 통해 추가적인 동의를 얻어 프로그램을 설치할 가능성이 높습니다.

그러므로 해당 프로그램을 삭제하기 위해서는 우선적으로 Windows 작업 관리자에서 Searchhost.exe 프로세스를 수동으로 종료하시기 바랍니다.

그 후 제어판에서 프로그램이 제공하는 [Searchhost] 삭제 항목을 이용하여 삭제할 수 있는데, 문제는 프로그램 삭제 이후에 다음과 같은 문제가 발생합니다.

프로그램 삭제시 시작 프로그램에 등록된 SearchhostUpdate.exe 파일 및 시작 프로그램 관련 레지스트리 값을 삭제하지 않고 그대로 유지를 하고 있습니다.

이로 인하여 사용자는 자신도 모르게 시스템 시작시마다 SearchhostUpdate.exe 파일이 특정 서버에 접속하여 버전 체크 및 추가적인 번들 프로그램 존재 여부를 체크하는 동작이 이루어지는 동작이 발생합니다.

현재 테스트 과정에서는 추가적인 프로그램 다운로드 동작이 없지만 차후 프로그램 배포자(제작자)의 의도에 따라 사용자 몰래 프로그램이 설치될 가능성이 존재합니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\searchhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\searchhost_setup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - searchhost = C:\Program Files\Searchhost\Searchhost.exe run
 - searchhostupdate = C:\Program Files\Searchhost\SearchhostUpdate.exe run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchhost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\Program Files\Searchhost\Searchhost.exe = C:\Program Files\Searchhost\Searchhost.exe:*:Enabled:Searchhost
 - C:\Program Files\Searchhost\SearchhostUpdate.exe = C:\Program Files\Searchhost\SearchhostUpdate.exe:*:Enabled:SearchhostUpdate


그러므로 Searchhost 프로그램을 삭제하실 때에는 제어판을 통한 프로그램 삭제 이외에 추가적으로 삭제되지 않은 다음의 폴더(파일)을 수동으로 삭제하시기 바라며, 생성 레지스트리 등록 정보를 참고하여 삭제되지 않은 값을 수동으로 삭제하시기 바랍니다.
  • C:\Program Files\Searchhost
  • C:\Program Files\Searchhost\SearchhostUpdate.exe
  • C:\WINDOWS\system32\remover.exe

해당 프로그램은 마치 Windows 운영 체제에서 제공하는 SearchProtocolHost.exe(Microsoft Windows Search Protocol Host) 프로세스로 착각할 수 있으므로 혼동하지 않도록 주의하시기 바랍니다.

728x90
반응형