본문 바로가기

벌새::Analysis

검색 도우미 : IEsearchtool

반응형

인터넷 검색시 백그라운드 방식으로 다음(Daum) 검색을 시도하며 특정 검색 키워드 값에서는 광고창을 생성할 수 있는 IEsearchtool 광고 프로그램에 대해 살펴보도록 하겠습니다.

대표적인 배포 방식은 웹하드의 "컨텐츠 정보 뷰" 제휴 프로그램을 통해 설치가 이루어지고 있는 것으로 확인되고 있습니다.

  • C:\Program Files\(웹하드 이름)\IEsearchtool003.exe (SHA-1 : 62ba6bb808debb35a1c18ee2f27c38281f876ff6)

만약 제휴 프로그램에 대한 체크 해제를 하지 않은 상태로 설치를 진행할 경우 웹하드 프로그램 폴더 내에 설치 파일(IEsearchtool003.exe)을 생성하여 IEsearchtool 광고 프로그램 설치를 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\Temp\adarea.config
C:\Users\(사용자 계정)\AppData\Local\Temp\nsite.db
C:\Users\(사용자 계정)\AppData\Local\Temp\searchnqurl.dat
C:\Users\(사용자 계정)\AppData\Local\Temp\site.db
C:\Users\(사용자 계정)\AppData\Local\Temp\version.ini
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\HNa.dll
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\IEsearchtool.exe :: 시작 프로그램(IEsearchtool) 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\tadarea.dll
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\unins000.exe :: 프로그램 삭제 파일

"INDOIT Co., Ltd." 디지털 서명이 포함된 해당 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool" 폴더에 파일을 생성합니다.

Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\IEsearchtool.exe" update] 파일을 시작 프로그램(IEsearchtool)으로 등록하여 자동 실행되어 Internet Explorer 웹 브라우저의 홈 페이지 등록 정보 및 광고 프로그램 버전을 체크합니다.

 

  • h**p://filter.win***.kr/appdownload/iesearchtool/update/HNa.dll (SHA-1 : 7828c12f29540972cc1ed2b663132b6bc67ab5cc) - AhnLab V3 365 Clinic : PUP/Win32.PowerSearch.C601293 (VT : 14/57)
  • h**p://filter.win***.kr/appdownload/iesearchtool/update/tadarea.dll (SHA-1 : 040eabc5d927afd4b8b2b96ec1964e1f8404faaa) - avast! : Win32:Adware-AZE [Adw] (VT : 13/56)
  • h**p://filter.win***.kr/appdownload/iesearchtool/update/wup.dll (0 Byte)
[추가 업데이트를 통한 변경된 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\HNa.dll

 - SHA-1 : eb4c186488df666a06789ffc5b972debc97b95b3 (변경 전)
 - SHA-1 : 7828c12f29540972cc1ed2b663132b6bc67ab5cc (변경 후)
 - AhnLab V3 365 Clinic : PUP/Win32.PowerSearch.C601293 (VT : 14/57)

 

C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\tadarea.dll

 - SHA-1 : 6fe348db169958bff970e7ab2389191df5186b7b (변경 전)
 - SHA-1 : 040eabc5d927afd4b8b2b96ec1964e1f8404faaa (변경 후)
 - avast! : Win32:Adware-AZE [Adw] (VT : 13/56)

 

이를 통해 광고 모듈(HNa.dll, tadarea.dll)에 대한 패치가 이루어지며, 추가적으로 광고 구성값 정보를 체크합니다.

IEsearchtool 광고 프로그램이 설치된 환경에서는 사용자가 네이버(Naver)를 통해 인터넷 검색시 전혀 다른 검색 키워드 값으로 백그라운드 방식으로 다음(Daum) 검색을 수행하여 불필요한 트래픽을 유발합니다.

 

또한 특정 검색 키워드 값을 통한 인터넷 검색시 추가적인 광고창이 생성될 수 있으리라 추정됩니다.

 

IEsearchtool 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 IEsearchtool.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 IEsearchtool 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - adarea = 0
 - IEsearchtool = T
 - itadarea = CZ0nDIqmCoqmD0
 - LL1 = iAs/+BMr
 - LL2 = iAsught3
 - LL3 = nlUpiZArlm
 - LLCD
HKEY_CURRENT_USER\Software\IEsearchtool
HKEY_CURRENT_USER\Software\Microsoft
 - adarea = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - IEsearchtool = "C:\Users\(사용자 계정)\AppData\Roaming\IEsearchtool\IEsearchtool.exe" update
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

IEsearchtool 광고 프로그램은 화면상에서는 어떠한 광고가 노출되지 않을 수 있지만 인터넷 검색시마다 특정 광고 서버를 경유한 다음(Daum) 검색을 수행하여 인터넷 속도 저하를 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

 
728x90
반응형