인터넷 검색 및 웹 사이트 접속시 광고창을 생성하는 국내에서 제작된 searchlike 광고 프로그램<SHA-1 : 5d418a797282c4f0e9ebf6d547cc0856b7bd6de6 - AhnLab V3 365 Clinic : PUP/Win32.SearchLike.R85894 (VT : 39/54)>의 새로운 변종에 대해 살펴보도록 하겠습니다.
searchlike 광고 프로그램은 2013년 가을경부터 등장하여 최근까지 꾸준하게 배포가 이루어지고 있으므로 참고하시기 바랍니다.
C:\Users\(사용자 계정)\AppData\Local\searchlike
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexa.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe
- SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
- AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.C205175 (VT : 30/55)
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
- SHA-1 : 6fe3318a2036a274b8f69ccb3daf2cc8637d04a4
- Kaspersky : Trojan.Win32.Badur.fsey (VT : 42/55)
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexa.exe
- SHA-1 : 0ec455ac54e31db66389673f242319bd51aa2db6
- AVG : Generic5.ATYM (VT : 27/54)
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
- SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
- AhnLab V3 365 Clinic : PUP/Win32.HubHelper.R91762 (VT : 28/54)
"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\searchlike" 폴더에 파일을 생성하며, Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
자동 실행된 파일(searchlike.exe)은 1분이 경과하면 특정 서버에서 프로그램 버전을 체크하여 업데이트를 수행할 수 있으며, 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexa.exe" 파일을 로딩한 후 자신은 종료 처리됩니다.
실행되어 메모리에 상주하는 searchlikeexa.exe 파일은 리소스에 저장되어 있던 광고 모듈을 "C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll" 파일로 생성합니다.
이를 통해 프로그램이 설치된 환경에서 포털 사이트를 비롯한 웹 사이트 접속 및 인터넷 검색시 다양한 광고창을 자동 생성하여 불편을 유발할 수 있습니다.
또한 Internet Explorer 웹 브라우저를 종료하는 과정에서 특정 광고 서버와의 통신을 하면서 "searchlikeexa - 지정되지 않은 오류입니다." 오류창을 생성할 수도 있습니다.
■ searchlike 광고 프로그램 삭제 방법
광고 기능 중지 및 프로그램 삭제를 위해서 Windows 작업 관리자를 실행하여 메모리에 상주하는 searchlikeexa.exe 프로세스를 찾아 종료하시기 바랍니다.
제어판 또는 체크잇(CheckIt) 프로그램을 통해 "searchlike" 삭제 항목을 실행하여 프로그램 삭제를 진행할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- searchlike = C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike
searchlike 광고 프로그램이 설치된 경우 Internet Explorer 웹 브라우저를 실행하여 인터넷을 이용하는 과정에서 다수의 광고창으로 불편을 유발하며, 웹 브라우저 종료시에도 짧은 순간 웹 브라우저 창이 생성되는 비정상적인 동작이 이루어지므로 설치되지 않도록 주의하시기 바랍니다.
☞ 국내 악성코드 : signup (2012.7.10)
☞ 검색 도우미 : FindLock - fnlag.exe + fnlink.exe (2013.7.28)
☞ 검색 도우미 : gbalink (2013.11.11)