인터넷 검색 과정에서 백그라운드 방식으로 후팝업 광고창을 생성하는 검색 도우미 "XocureWeb Control HiSearch" 프로그램(MD5 : 157499753ce8ceb1fb2a87e349ccc876)에 대해 살펴보도록 하겠습니다.
▷ 검색 도우미 : Advenced Top C Manager (2012.3.15)
▷ 국내 악성코드 : Smart Connection tc services (2012.9.15)
▷ 검색 도우미 : SocureWeb Control (2012.11.28)
해당 프로그램은 기존의 탑클릭(TopClick), 워핑(WerPing) 시리즈 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.
C:\Program Files\HiSearch
C:\Program Files\HiSearch\HSHelper.dll :: BHO 등록 파일
C:\Program Files\HiSearch\hsse.dat
C:\Program Files\HiSearch\HSSearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\HiSearch\HSSvcApp.exe :: 메모리 상주 프로세스(Internet Explorer 웹 브라우저 연동)
C:\Program Files\HiSearch\HSSvcApp.tlb
C:\Program Files\HiSearch\HSUninst.exe :: 프로그램 삭제 파일
C:\Program Files\HiSearch\hswhk.dll
해당 프로그램은 "C:\Program Files\HiSearch" 폴더에 파일을 생성하며, Windows 시작시 HSSearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행하여 인터넷 검색 활동을 시작할 때 "C:\Program Files\HiSearch\HSSvcApp.exe" 파일을 실행하여 추가적으로 동작이 이루어집니다.
실행된 HSSvcApp.exe 파일은 기본적으로 사용자가 인터넷 검색 키워드 값을 입력할 경우, 사용자 Mac Address, 파트너 아이디(ID), 검색 키워드, 연결된 URL 주소를 수집하여 특정 서버에 GET 방식으로 전송합니다.
실제적인 광고 동작은 사용자가 인터넷 검색을 통해 검색 결과 사이트에 접속할 경우 백그라운드 방식으로 추가적인 웹 사이트를 로딩한 후, 사용자가 해당 검색 결과창을 종료할 경우 후팝업 방식으로 광고창을 생성합니다.
그 외에도 인터넷 검색 과정 중 동일한 방식으로 웹 사이트 로딩을 통해 웹 브라우저를 종료하는 시점에서 광고창을 생성할 수 있습니다.
이름 : HSAdvCtrl Class
게시자 : ArthanSoft
유형 : 브라우저 도우미 개체
CLSID : {A433374B-2F44-402B-AB7E-E58B4A09DF8A}
파일 : C:\Program Files\HiSearch\HSHelper.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 HSHelper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 HSSvcApp.exe 파일 실행 및 광고 동작이 이루어지도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "HSAdvCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 HSSearch.exe, HSSvcApp.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "XocureWeb Control HiSearch" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\HiSearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HiSch = C:\Program Files\HiSearch\HSSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{95A6E518-3E4D-4AE2-B355-8E1FCB23DF31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\HSHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{431B1639-4BC8-43EC-A7C9-0D87F0D1EC09}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D247E3A-D856-4273-A322-C33920214FC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EAED39B-0432-4D87-B11C-6B55A074EF70}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A433374B-2F44-402B-AB7E-E58B4A09DF8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSHelper.HSAdvCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSHelper.HSAdvCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSExtDisp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSExtDisp.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSUIHandler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HiSReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HiSReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{15F71188-91EB-426F-81D4-B114B6F12B6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A0E76CA4-2C76-4B2F-AE73-4FBE2A303B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CA714479-D4E3-4687-95DF-C75EC72398F6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DAC183E7-3A88-4C57-A5A0-0950B0490D6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{12C4DB6A-9743-49B3-975B-26808B70A4E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2B7A6F7B-9B9A-40F9-8661-F418404BEF4B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{393E2049-E8AC-4814-BCDC-6A7AF57DC50C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A433374B-2F44-402B-AB7E-E58B4A09DF8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adv HiSearch
"XocureWeb Control HiSearch" 프로그램의 이름 자체가 금융권 보안 솔루션 "XecureWeb Control"과 유사하여 사용자들에게 혼동을 유발하고 있으며, 인터넷 검색 과정에서 원치 않는 웹 사이트 로딩으로 속도 저하 및 광고창 생성이 이루어지므로 주의하시기 바랍니다.