인터넷 검색시 "열린 주소창 검색(dns3.ktguide.com)" 및 추가적인 광고 팝업창 등을 생성할 수 있는 검색 도우미 searchgoo 변종 프로그램<MD5 : 49bbbf450d4d84571b5836361918e3e8 - MSE : Trojan:Win32/Msidebar.C (VT : 21/48)>에 대해 살펴보도록 하겠습니다.
▷ 국내 악성코드 : searchgoo (2013.12.14)
▷ 검색 도우미 : searchgoo - searchgooms (2013.12.17)
▷ 검색 도우미 : searchgoo - searchgoohs (2013.12.18)
searchgoo 검색 도우미 프로그램은 프로그램 이름은 동일하지만 다양한 폴더와 파일로 구성된 변종 프로그램이 유포되고 있으므로 참고하시기 바랍니다.
C:\Program Files\searchgooys
C:\Program Files\searchgooys\searchgoo.dll :: BHO 등록 파일
C:\Program Files\searchgooys\searchgoo.exe :: 메모리 상주 프로세스
C:\Program Files\searchgooys\searchgoodl.exe
C:\Program Files\searchgooys\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\searchgooys\Uninstall.ini
C:\Program Files\searchgooys\winsearch.exe :: 메모리 상주 프로세스
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
C:\Program Files\searchgooys\searchgoo.dll
- MD5 : 1f49eeb253b72b9a7abfaa7b7983ba5a
- avast! : Win32:Downloader-UHH [PUP] (VT : 13/48)
C:\Program Files\searchgooys\searchgoo.exe
- MD5 : 0e2f2321c658eb04b4492b8502c6b7f1
- avast! : Win32:Downloader-UHH [PUP] (VT : 5/48)
C:\Program Files\searchgooys\searchgoodl.exe
- MD5 : 1631403520203d75f915b9122872a00d
- ESET : a variant of Win32/Msidebar.B (VT : 11/48)
C:\Program Files\searchgooys\Uninstall.exe
- MD5 : 787571e7f7220b2649a673f17a4962fb
- nProtect : Adware/W32.Agent.57388 (VT : 3/47)
C:\Program Files\searchgooys\winsearch.exe
- MD5 : aa729d62b95283ce0acc1bf6f88553fa
- AhnLab V3 : PUP/Win32.Helper (VT : 4/48)
해당 프로그램은 "C:\Program Files\searchgooys" 폴더에 파일을 생성하며, 프로그램이 설치된 이후 Internet Explorer 웹 브라우저를 실행할 경우 브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files\searchgooys\searchgoo.dll" 파일을 통해 다음과 같은 추가적인 동작을 수행합니다.
- h**p://121.78.93.46/~serviceitem/searchgoo2/searchgoo6.html
특정 IP 서버에서 정보를 체크하여 광고 구성값 및 추가적인 파일이 등록되어 있는 경우 자동으로 다운로드 및 실행할 수 있습니다.
이를 통해 특정 시점에서는 사용자가 Internet Explorer 웹 브라우저 실행을 통해 searchgoo.exe, winsearch.exe 파일을 자동 실행되도록 할 수 있습니다.
1. "C:\Program Files\searchgooys\searchgoo.exe" 파일 기능
Internet Explorer 웹 브라우저 실행시 체크되는 값을 통해 "C:\Program Files\searchgooys\searchgoo.exe" 파일이 자동 실행될 경우, 시스템 트레이 알림 아이콘 상단에 팝업창 생성을 통한 광고 동작을 수행할 수 있습니다.
2. "C:\Program Files\searchgooys\winsearch.exe" 파일 기능
Internet Explorer 웹 브라우저 실행시 체크되는 값을 통해 "C:\Program Files\searchgooys\winsearch.exe" 파일이 자동 실행될 경우, 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 "cl.ncclick.co.kr" 제휴 코드를 추가한 광고창이 전체 화면 크기로 생성되는 동작을 확인할 수 있습니다.
3. "C:\Program Files\searchgooys\searchgoo.dll" 파일 기능
브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files\searchgooys\searchgoo.dll" 파일은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 검색을 시도할 경우 "열린 주소창 검색(dns3.ktguide.com)"으로 연결이 이루어집니다.
또한 인터넷 검색 서비스를 이용하여 검색을 시도할 경우 자동으로 "열린 주소창 검색(dns3.ktguide.com)" 결과창이 생성되는 동작을 수행합니다.
이름 : searchgoopg.searchgoo
게시자 : OCEAN INC Co.,Ltd.
유형 : 브라우저 도우미 개체
CLSID : {E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}
파일 : C:\Program Files\searchgooys\searchgoo.dll
해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\searchgooys\searchgoo.dll" 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "searchgoopg.searchgoo" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
4. 프로그램 삭제 방법
프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 searchgoo.exe, winsearch.exe 2개의 프로세스가 존재할 경우 종료하시기 바랍니다.
그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "searchgoo" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.
- C:\Program Files\searchgooys
- C:\Program Files\searchgooys\searchgoo.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5BE58236-EA1E-496B-A223-0EABC88FE244}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchgoopg.searchgoo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1701336A-D596-4035-9CC3-32B790CA1322}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
- searchgoo = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchgoo
HKEY_LOCAL_MACHINE\SOFTWARE\searchgoo
searchgoo 검색 도우미 프로그램은 다양한 폴더와 파일 구성을 가진 변종 프로그램이 지속적으로 발견되고 있으며, 프로그램 설치로 인해 원치 않는 광고창이 생성되어 인터넷 사용에 불편을 유발하고 있으므로 주의하시기 바랍니다.