인터넷 검색시 사용자 검색 키워드 값을 참조하여 "열린 주소창 검색(dns3.ktguide.com)" 결과를 자동으로 생성하며, 제휴 코드가 추가된 광고창을 생성할 수 있는 검색 도우미 windssearch 프로그램<MD5 : 095c03fb933dd7fd899ab20b3342f2af - MSE : Trojan:Win32/Msidebar.C (VT : 11/49)>에 대해 살펴보도록 하겠습니다.

 

  <2011년~2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 20종

 

  <2013년 상반기 관련 정보> 국내 악성코드 : Winsearchmein (2013.6.23) 외 7종

 

  검색 도우미 : Winsearch - msopensearchw (2013.7.18)

 

  검색 도우미 : EasyClick (2013.10.28)

 

  국내 악성코드 : searchgoo (2013.12.14)

 

해당 프로그램은 기존부터 유사한 기능을 가진 다양한 이름의 프로그램으로 유포하고 있으므로 참고하시기 바라며, Windows XP 운영 체제 환경에서만 정상적으로 동작하는 것으로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\windssearch
C:\Program Files\windssearch\googool.exe :: 메모리 상주 프로세스
C:\Program Files\windssearch\opensearchaddr.dll :: BHO(opensearchaddrpg.opensearchaddr) 등록 파일
C:\Program Files\windssearch\t-Add.exe
C:\Program Files\windssearch\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\windssearch\Uninstall.ini
C:\Program Files\windssearch\unwindsearch.exe
C:\Program Files\windssearch\windsearch.dll :: BHO(windsearchcfg.windsearch) 등록 파일
C:\Program Files\windssearch\windsearch.exe
C:\Program Files\windssearch\wsearchp.exe
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\windssearch\googool.exe
 - MD5 : f321a26a788b6a41a1f1a9bfdb7440b6
 - AhnLab V3 : PUP/Win32.Helper (VT : 7/49)

 

C:\Program Files\windssearch\opensearchaddr.dll
 - MD5 : 6beed05ea1c96621da86562bcbca39f9
 - avast! : Win32:Downloader-UHH [PUP] (VT : 4/47)

 

C:\Program Files\windssearch\t-Add.exe
 - MD5 : 0bbd5d17b90f2d234d43f61589d8f37c
 - nProtect : Adware/W32.KrAdword.668040 (VT : 7/49)

 

C:\Program Files\windssearch\Uninstall.exe
 - MD5 : c7501aefe3b35903f97da5542729d4b1
 - nProtect : Adware/W32.Agent.57388 (VT : 3/48)

 

C:\Program Files\windssearch\unwindsearch.exe
 - MD5 : 9a0d3e1cdb0f100564d037d166f7ff5b
 - nProtect : Adware/W32.Agent.36864 (VT : 5/49)

 

C:\Program Files\windssearch\windsearch.dll
 - MD5 : 7a07ac6757e5ad30495642be88d01033
 - nProtect : Adware/W32.Agent.98184 (VT : 14/49)

 

C:\Program Files\windssearch\windsearch.exe
 - MD5 : 36a27531593609efc92a751053b673c0
 - nProtect : Adware/W32.Agent.155528 (VT : 10/49)

 

해당 프로그램은 "C:\Program Files\windssearch" 폴더에 파일을 생성하며, 프로그램이 설치된 이후 Internet Explorer 웹 브라우저를 실행할 경우 브라우저 도우미 개체(BHO)에 등록된 파일을 통해 다음과 같은 추가적인 정보 체크를 통한 다운로드가 이루어집니다.

  • h**p://121.**.93.**/easyclick/wsearchp.exe (MD5 : 091939e4b228f0c030311b8471811383) - nProtect : Adware/W32.Agent.1314816 (VT : 7/49)

다운로드된 wsearchp.exe 파일은 자동 실행되어 "C:\Program Files\windssearch\googool.exe" 파일을 생성한 후 메모리에 상주하도록 제작되어 있습니다.

이렇게 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 이용하여 인터넷 검색시 다음과 같은 다양한 수익 활동을 수행할 수 있습니다.

 

1. "C:\Program Files\windssearch\googool.exe" 파일 기능

메모리에 상주하는 googool.exe 파일은 사용자가 인터넷 검색을 통해 웹 사이트를 오픈하는 과정에서 자동으로 광고창을 전체 화면으로 오픈하도록 제작되어 있습니다.

참고로 광고창이 오픈되는 연결값을 살펴보면 "cl.ncclick.co.kr" 제휴 코드를 경유하여 연결되는 것을 확인할 수 있습니다.

해당 광고 동작은 메모리에 상주하는 googool.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 googool.exe 프로세스를 찾아 종료하시기 바랍니다.

 

2. 브라우저 도우미 개체(BHO) 등록 파일(opensearchaddr.dll, windsearch.dll) 기능

Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 "열린 주소창 검색(dns3.ktguide.com)" 결과창으로 자동으로 연결이 이루어집니다.

또한 인터넷 검색 서비스를 이용하여 검색 키워드를 입력할 경우 자동으로 "열린 주소창 검색(dns3.ktguide.com)" 결과 페이지로 연결이 이루어집니다.

 

그 외에도 사용자가 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 시도하는 동작이 발생하여 결과적으로 불필요한 트래픽을 유발할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : opensearchaddrpg.opensearchaddr

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {328192BE-ED2C-46DD-AFD0-43A51175C57E}

파일 : C:\Program Files\windssearch\opensearchaddr.dll

 

이름 : windsearchcfg.windsearch

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {44056303-EF12-4C52-BD75-5485D9372CC7}

파일 : C:\Program Files\windssearch\windsearch.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 opensearchaddr.dll, windsearch.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "opensearchaddrpg.opensearchaddr", "windsearchcfg.windsearch" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

3. 프로그램 삭제 방법

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "windssearch" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\windssearch
  • C:\Program Files\windssearch\googool.exe
  • C:\Program Files\windssearch\opensearchaddr.dll
  • C:\Program Files\windssearch\windsearch.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{328192BE-ED2C-46DD-AFD0-43A51175C57E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44056303-EF12-4C52-BD75-5485D9372CC7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{EEB80EF2-1B6C-4FFD-9B82-AC189279679F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FF26FE74-4358-4B9A-BA98-6F2BC4FFA256}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\opensearchaddrpg.opensearchaddr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{74BA0F8E-3B2F-4DCA-81BB-9CD55B456837}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{86B83D0D-7050-4D92-BC5F-922654D2A574}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\windsearchcfg.windsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - opensearchaddr = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{328192BE-ED2C-46DD-AFD0-43A51175C57E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{44056303-EF12-4C52-BD75-5485D9372CC7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
windssearch
HKEY_LOCAL_MACHINE\SOFTWARE\opensearchaddr
HKEY_LOCAL_MACHINE\SOFTWARE\windsearch

 

windssearch 프로그램이 설치된 환경에서는 인터넷 검색시마다 원치않는 "열린 주소창 검색(dns3.ktguide.com)"창이 자동으로 생성되어 불편을 유발하고 있으므로 위와 같은 프로그램이 설치되지 않도록 주의하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..