인터넷 검색시 열린 주소창 검색(dns3.ktguide.com) 연결 및 추가적인 광고 기능을 가진 프로그램 설치 기능을 가진 국내에서 제작된 WinsearchOpen 검색 도우미 프로그램<SHA-1 : 18a41329820a7806f1304661f6e67ff51c9dc941 - AhnLab V3 : PUP/Win32.Helper.C477615 (VT : 38/54)>에 대해 살펴보도록 하겠습니다.
해당 프로그램은 2014년 4월 21일경부터 유포가 이루어진 것으로 보이며, 현재는 정상적으로 동작하지 않는 것으로 판단됩니다.
C:\Program Files\WinsearchOpen
C:\Program Files\WinsearchOpen\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\WinsearchOpen\Uninstall.ini
C:\Program Files\WinsearchOpen\winsearchopen.dll :: BHO 등록 파일
C:\Program Files\WinsearchOpen\winsearchopen.exe
C:\Program Files\WinsearchOpen\winsearchopen.dll
- SHA-1 : f660fa9b6bcd183301c76d52195f2e3fee124875
- BitDefender : Gen:Variant.Adware.Kraddare.8 (VT : 27/54)
C:\Program Files\WinsearchOpen\winsearchopen.exe
- SHA-1 : 9fe649b7b864c9bec863df9e2526a5b2d7009285
- avast! : Win32:Downloader-UHH [PUP] (VT : 4/54)
"OCEAN INC Co.,Ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\WinsearchOpen" 폴더에 파일을 생성합니다.
|
이름 |
winsearchopenpg.winsearchopen |
|
게시자 |
OCEAN INC Co.,Ltd. |
|
유형 |
브라우저 도우미 개체 |
|
CLSID |
{B6E1AB54-1139-4573-A1B9-AC45852E861E} |
|
파일 |
C:\Program Files\WinsearchOpen\winsearchopen.dll |
해당 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 "winsearchopenpg.winsearchopen" 브라우저 도우미 개체(BHO) 항목을 추가하여 "C:\Program Files\WinsearchOpen\winsearchopen.dll" 파일을 로딩합니다.
- h**p://121.**.93.**/down/winadup.exe (SHA-1 : 6faa4822bd2a4609ce0246ac3c915e7ca86fb308) - Symantec : Trojan.ADH.2 (VT : 13/53)
이를 통해 특정 IP 서버로부터 구성값 정보를 체크하여 winopenhelp 프로그램을 사용자 몰래 다운로드 및 설치를 수행할 수 있습니다.
또한 인터넷 검색 키워드 값을 참조하여 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고창을 생성할 수 있습니다.
그 외에도 Windows 시작시 "C:\Program Files\WinsearchOpen\winsearchopen.exe" 파일을 시작 프로그램으로 등록하여 자동 실행 및 메모리에 상주할 수 있을 것으로 추정됩니다.(※ 현재는 시작 프로그램 등록이 이루어지지 않고 있습니다.)
만약 정상적으로 winsearchopen.exe 파일이 동작한다면 Internet Explorer 웹 브라우저를 이용한 인터넷 검색시 열린 주소창 검색(dns3.ktguide.com)으로 연결될 수 있을 것으로 추정됩니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "WinsearchOpen" 삭제 항목을 이용하여 제거할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\Program Files\WinsearchOpen
- C:\Program Files\WinsearchOpen\winsearchopen.dll
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
- {B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{621EFB36-55BE-4538-B50B-4C91FEED813A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8C1CD341-0CCF-4FD1-AE3A-77A4D27DC737}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchopenpg.winsearchopen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{B6E1AB54-1139-4573-A1B9-AC45852E861E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
WinsearchOpen
WinsearchOpen 광고 프로그램은 다운로드 기능을 통해 유사한 기능을 가진 변종 광고 프로그램을 추가 설치할 수 있으며, 인터넷 검색시 원치않는 광고로 불편을 유발할 수 있으므로 주의하시기 바랍니다.
☞ <2011년~2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 20종
☞ <2013년 관련 정보> 검색 도우미 : searchgoo - searchgooys (2013.12.29) 외 14종
☞ 검색 도우미 : searchgoo - searchgoosg (2014.2.23)
☞ 이슈와이드 사이드바를 생성하는 issuewidebar 정보 (2014.4.21)
☞ 파일 다운로드 기능을 가진 "winiesearch 1.00" 프로그램 주의 (2014.4.25)
☞ 검색 도우미 : searchgoosg - SpeedUtil.exe (2014.5.1)
☞ 검색 도우미 : searchgoo - mswinsearch (2014.7.28)