Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 검색 시도시 "열린 주소창 검색(dns3.ktguide.com)" 서버로 검색 쿼리 전송을 요청할 것으로 추정되며, 시스템 시작시 업데이트 창 생성을 통해 추가적인 제휴 프로그램의 설치를 유도하는 Searchline-nc 프로그램<MD5 : 63340b5518fd6cd742b3ecdc12bfb449 - nProtect : Adware/W32.Agent.443378 (VT : 33/47)>에 대해 살펴보도록 하겠습니다.
C:\Program Files\Searchline_nc
C:\Program Files\Searchline_nc\searchline_nc.dll :: BHO 등록 파일
C:\Program Files\Searchline_nc\searchlinedc.exe :: 시작 프로그램(Searchline_ncupdate) 등록 파일
C:\Program Files\Searchline_nc\searchlineu_nc.exe :: 시작 프로그램(Searchline_nc) 등록 파일, 예약 작업(Searchlinenc) 등록 파일
C:\Program Files\Searchline_nc\uninstall.exe :: 프로그램 삭제 파일
C:\Windows\System32\Tasks\Searchlinenc
C:\Program Files\Searchline_nc\searchline_nc.dll
- MD5 : 79194fb7e2a75ff87566b143d2fba394
- nProtect : Adware/W32.KrAdword.151552.J (VT : 30/48)
C:\Program Files\Searchline_nc\searchlinedc.exe
- MD5 : 70a431fd79143882f820c0c723684e4a
- AhnLab V3 : PUP/Win32.SearchLine (VT : 23/49)
C:\Program Files\Searchline_nc\searchlineu_nc.exe
- MD5 : 10019c9393f502d9884f67e4c16ad857
- nProtect : Adware/W32.KrAdword.368640.C (VT : 15/45)
C:\Program Files\Searchline_nc\uninstall.exe
- MD5 : b37403ef96a32b3b839fa1fad870b2bd
- AhnLab V3 : PUP/Win32.Enumerate (VT : 4/49)
해당 프로그램은 "C:\Program Files\Searchline_nc" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.
1. 시작 프로그램(Searchline_ncupdate) 등록 파일
Windows 시작시 "C:\Program Files\Searchline_nc\searchlinedc.exe" 파일을 시작 프로그램(Searchline_ncupdate)으로 등록하여 자동 실행되도록 구성되어 있습니다.
- h**p://down.search-*****.co.kr/download/Searchline_nc_sline03_update_20131223.exe (MD5 : 1353e9f01362414e633676536f6bcb07) - Kaspersky : not-a-virus:AdWare.Win32.Agent.aejr (VT : 19/48)
이를 통해 특정 서버에서 Searchline-nc 프로그램의 업데이트 파일이 존재할 경우 자동으로 다운로드 및 실행되어 프로그램 업데이트를 진행합니다.
C:\Program Files\Searchline_nc\searchline_nc.dll
- MD5 : f1b1930f344f6a843cd76666555f99ec
- ESET : a variant of Win32/Adware.Kraddare.HO (VT : 12/44)
C:\Program Files\Searchline_nc\searchlinedc.exe
- MD5 : 10a8d1caaa8a7f7e02a1bb6fc25fdf0c
- ESET : a variant of Win32/AdWare.Kraddare.IN (VT : 10/49)
C:\Program Files\Searchline_nc\searchlineu_nc.exe
- MD5 : 5bc4832fc9fbc0e30af893840a0ea32a
- AhnLab V3 : PUP/Win32.SearchLine (VT : 9/49)
C:\Program Files\Searchline_nc\uninstall.exe
- MD5 : 0fc9d54afa186dabdce718211bcbf8d9
- AhnLab V3 : PUP/Win32.Enumerate (VT : 3/49)
또한 추가적인 제휴 프로그램 정보를 체크하여 "Searchline-nc" 업데이트 창을 생성하여 필수 업데이트와 권장 업데이트 항목을 통해 다수의 제휴 프로그램을 설치할 수 있습니다.
특히 필수 업데이트 항목의 경우 위에서 소개한 것처럼 Searchline-nc 프로그램의 업데이트 선택 여부와 상관없이 백그라운드로 자동 다운로드 및 실행이 이루어지고 있습니다.
권장 프로그램에 등록된 제휴 프로그램의 경우 사용자가 다운로드(Download)를 진행할 경우 "C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Templates" 폴더에 설치 파일을 다운로드한 후 자동 설치가 진행되도록 구성되어 있으므로 주의하시기 바랍니다.
(1) 검색 도우미 : Revealing Top Search App (2013.5.25)
- h**p://down.reveal**.co.kr/download/Revealing_App_12_hinst.exe (MD5 : fe2d1d8569250c8bb6339a1421b32312) - Kaspersky : not-a-virus:WebToolbar.Win32.Agent.vb (VT : 20/44)
(2) 검색 도우미 : honorzone (2013.12.23)
- h**p://***scan.kr/download/honorzone_hinst.exe (MD5 : aeb42dff3298798f3f2035683d996eea) - avast! : Win32:Adware-gen [Adw] (VT : 22/49)
"Searchline-nc" 업데이트 창의 종료를 위해 닫기(X) 버튼을 클릭할 경우 사용자에게 혼동을 유발하는 문구를 통해 "예(Y)"를 클릭하도록 유도하여 제휴 프로그램이 자동 설치되도록 제작되어 있으므로 버튼 선택시 제시되는 문장을 잘 읽으시기 바랍니다.
2. 시작 프로그램(Searchline_nc) 등록 파일
Windows 시작시 ["C:\Program Files\Searchline_nc\searchlineu_nc.exe" subcmd] 파일을 시작 프로그램(Searchline_nc)으로 등록하여 자동 실행되도록 구성되어 있으며, 이를 통해 특정 서버로부터 업데이트 정보를 체크합니다.
3. 예약 작업(Searchlinenc) 등록 파일
시스템 시작시 예약 작업에 등록된 "Searchlinenc" 작업 스케줄러 항목을 통해 ["C:\Program Files\Searchline_nc\searchlineu_nc.exe" schcmd] 파일을 자동 실행하도록 구성되어 있습니다.
자동 실행된 searchlineu_nc.exe 파일은 특정 서버로부터 업데이트 정보를 체크합니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- searchlinenc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" Runcmd
또한 Windows 부팅시마다 시작 프로그램(RunOnce) 항목에 searchlinenc 값을 반복적으로 등록하여 searchlineu_nc.exe 파일을 자동 실행하도록 등록합니다.
4. 기본적인 광고 동작
Searchline-nc 프로그램이 설치된 환경에서는 사용자가 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 "열린 주소창 검색(dns3.ktguide.com)" 서버에 검색 쿼리를 전송하도록 제작되어 있는 것으로 추정되며, 테스트 시점에서는 정상적인 동작은 확인되지 않고 있습니다.
이름 : searchline_nc
게시자 : Search line Nc
유형 : 브라우저 도우미 개체
CLSID : {5F930A63-011A-4796-A0FB-3A7C8F78E7CF}
파일 : C:\Program Files\Searchline_nc\searchline_nc.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 searchline_nc.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "searchline_nc" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
5. 프로그램 삭제 방법
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Searchline-nc" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- searchlinenc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" Runcmd
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Searchline_nc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" subcmd
- Searchline_ncupdate = C:\Program Files\Searchline_nc\searchlinedc.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- searchlinenc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" Runcmd
HKEY_CURRENT_USER\Software\searchlinenc
HKEY_CURRENT_USER\Software\slnpublisher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{3FE22CA2-D5CC-4961-9FA3-96140C724342}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\searchline_nc.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5F930A63-011A-4796-A0FB-3A7C8F78E7CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC5EC5A8-9A2B-4F4C-BF58-BBB179EB6850}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchline_nc.searchline_nc_Obj
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchline_nc.searchline_nc_Obj.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DB89C58B-D295-4783-99AC-ABAADE306791}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{5F930A63-011A-4796-A0FB-3A7C8F78E7CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Searchline_nc uninstall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BFA13EAA-5C87-4B04-9A3C-73B140A82396}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Searchlinenc
Searchline-nc 프로그램은 Windows 시작시마다 업데이트 창 생성을 통해 사용자의 부주의한 실수를 유발하여 불필요한 프로그램(PUP)을 다수 설치할 수 있으며, 주기적으로 프로그램 업데이트를 통해 보안 제품의 진단을 우회하므로 주의하시기 바랍니다.
☞ 검색 도우미 : Revealing Top Search (2013.1.29)
☞ 검색 도우미 : OpenSearchGT (2013.4.13)
☞ 검색 도우미 : Enumerate Top Search - GT (2013.4.24)
☞ 검색 도우미 : Revealing Top Search App (2013.5.25)
☞ 검색 도우미 : Windows SRankingPopView (2013.5.30)