본문 바로가기

벌새::Analysis

검색 도우미 : Win Search fordirectsearch

반응형

국내 특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드 추가 및 추가적인 광고창을 생성하는 검색 도우미 Win Search fordirectsearch 프로그램에 대해 살펴보도록 하겠습니다.

  검색 도우미 : SearchFree - Win Search forsearchfree (2010.4.20)

  검색 도우미 : Win Search forezlinker (2011.3.1)

  검색 도우미 : Win Search forsmartfinder (2011.4.11)

  검색 도우미 : Win Search forservice2 (2011.7.9)

  검색 도우미 : Win Search forhantiat6 + winsearchshop 1.00 (2011.8.12)

  국내 악성코드 : Win Search forsecretkey (2011.9.6)

  국내 악성코드 : Win Search for finalget (2011.10.21)

  국내 악성코드 : Win Search forxercle (2011.11.8)

  검색 도우미 : Win Search fortruepod (2011.11.15)

  국내 악성코드 : Win Search forozplus (2011.12.18)

  국내 악성코드 : Win Search for rolypop (2012.2.13)

해당 프로그램은 과거부터 다양한 이름으로 발견되고 있는 Win Search for 시리즈의 변종 프로그램으로 현재 확인된 설치 파일(MD5 : 996320cf2597fbbbb2b632bbe3f3929d)을 통해 사용자 동의없이 몰래 설치되는 것으로 확인되고 있으므로 주의하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch :: 숨김(H) 속성 폴더
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\directsearch.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\directsearchs.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\evdat2.dmc
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\uninstall.exe :: 프로그램 삭제 파일 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch" 폴더에 파일을 생성하며, Windows 시작시 directsearchs.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 directsearchs.exe 파일은 특정 서버에 접속하여 프로그램 업데이트 체크 및 추가적인 업데이트 정보를 확인하는 것을 확인할 수 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저의 주소 표시줄에 11번가, G마켓, 옥션 등 특정 인터넷 쇼핑몰 주소를 입력하여 접속시 사용자 몰래 광고 코드(click.clickstory.co.kr) 추가 및 광고창을 생성하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : O
유형 : 브라우저 도우미 개체
CLSID : {7C211A9A-C8D5-4661-ABAB-424C80D7CBAC}
파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\directsearch.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 directsearch.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고 동작을 하도록 구성되어 있습니다.

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "O" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Win Search fordirectsearch" 삭제 항목을 이용하여 삭제할 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - directsearchv3 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\directsearch\directsearchs.exe
HKEY_CURRENT_USER\Software\directsearchpp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7C211A9A-C8D5-4661-ABAB-424C80D7CBAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\directsearch.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\directsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{7C211A9A-C8D5-4661-ABAB-424C80D7CBAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
directsearch 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 원치 않는 광고창 생성으로 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형