본문 바로가기

벌새::Analysis

검색 도우미 : Windows joy search

반응형

검색 공급자 변경 및 주소 표시줄 검색 방식을 "search.goenjoy.co.kr" 서비스로 변경하는 검색 도우미 "Windows joy search" 프로그램에 대해 살펴보도록 하겠습니다.(※ 해당 프로그램은 2012년 8월경에 배포되었던 것으로 보이며, 현재에는 정상적인 동작이 이루어지지 않고 있습니다.)

 

해당 프로그램의 설치 파일(MD5 : 4fae73a9c0ba2cd1d9e663567fdf1794)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1743968 (VirusTotal : 4/44) 진단명으로 진단되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\Goenjoy.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\GoenjoyLaunch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\GoenjoyUp.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\msi.ico
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\msvcr71.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\uninst.exe :: 프로그램 삭제 파일

 

해당 프로그램은 사용자가 확인하기 어려운 숨김(H) 속성값을 가지는 폴더 내의 "C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy" 폴더에 파일을 생성합니다.

 

설치된 프로그램은 Windows 시작시 GoenjoyLaunch.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 메모리에 상주합니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행하면 현재 등록된 기본 검색 공급자를 "Goenjoy(search.goenjoy.co.kr)"로 변경하도록 유도하는 동작을 확인할 수 있습니다.

만약 사용자가 기본 검색 공급자(Bing)에서 Goenjoy로 변경을 시도한 경우, 검색 공급자는 그림과 같이 변경되며 검색어를 입력하면 "search.goenjoy.co.kr/search.php?q={searchTerms}" 검색 경로를 통해 검색이 이루어집니다.(※ 테스트 시점에서는 해당 검색 서비스는 동작하지 않습니다.)

Windows joy search 프로그램의 기능을 살펴보면 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 기본값(search.daum.net/bing?q=)에서 Goenjoy(search.goenjoy.co.kr/search.php?q=)으로 연결을 시도하는 동작을 확인할 수 있습니다.(※ 테스트 시점에서는 해당 검색 서비스는 동작하지 않습니다.)

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : CJoySearch Object

게시자 : (주)제이제이네트웍스

유형 : 브라우저 도우미 개체

CLSID : {5B628070-B0EE-4BBA-A35F-4743A792130D}

파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\Goenjoy.dll

 

해당 프로그램은 Goenjoy.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 Internet Explorer 웹 브라우저의 키워드 값을 감시하여 Goenjoy 검색 서비스로 연결을 시도합니다.

 

그러므로 해당 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "CJoySearch Object" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

인터넷 상에서 Windows joy search 프로그램을 삭제하는 과정에서 제어판을 통한 삭제가 이루어지지 않는 문제가 있다는 정보가 있으므로 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.

우선 Windows joy search 프로그램은 GoenjoyLaunch.exe 프로세스를 메모리에 상주시키므로, Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다.

그 후 제어판의 "Windows joy search" 삭제 항목을 선택하여 "변경/제거" 버튼을 클릭하면 "Goenjoy 1.0 제거" 창이 생성되므로 "예(Y)" 버튼을 클릭하시기 바랍니다.

다음 단계에서는 그림과 같이 Windows joy search 프로그램의 삭제가 진행되는 창이 생성되지만 더 이상 진행되지 않고 이 상태를 유지하는 문제가 발생합니다.

해당 문제의 원인을 확인해보면 Windows joy search 프로그램 삭제 과정에서 GoenjoyLaunch.exe 프로세스가 생성되어 삭제를 하는 과정에서 정상적으로 종료가 이루어지지 않는 버그(Bug) 문제로 추정됩니다.

그러므로 삭제 진행 과정에서 Windows 작업 관리자를 재실행하여 GoenjoyLaunch.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

그러면 정상적으로 Windows joy search 프로그램이 삭제 완료되었다는 메시지가 출력되며, 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\msi.ico
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Goenjoy
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전
 - DefaultScope = {9BD79199-113C-463F-8211-B63391C1D97E} :: 변경 후
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BD79199-113C-463F-8211-B63391C1D97E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - Goenjoy = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\Goenjoy\GoenjoyLaunch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\ABSoft
HKEY_LOCAL_MACHINE\SOFTWARE\ABSoft\Goenjoy
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{DE6B4C06-0816-4E2C-8FB0-D31D61EAB6B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\Goenjoy.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5B628070-B0EE-4BBA-A35F-4743A792130D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Goenjoy.JoySearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Goenjoy.JoySearch.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{8644F700-B446-4766-8ABC-F914AB531CC9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DE6B4C06-0816-4E2C-8FB0-D31D61EAB6B0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5B628070-B0EE-4BBA-A35F-4743A792130D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Goenjoy

만약 Windows joy search 프로그램에서 제공하는 검색 공급자로 변경한 환경에서는 프로그램 삭제 이후 Internet Explorer 웹 브라우저를 실행한 경우, 그림과 같은 안내를 통해 자동으로 기본 검색 공급자를 Bing으로 변경하였음을 알리므로 참고하시기 바랍니다.

728x90
반응형