본문 바로가기

벌새::Analysis

검색 도우미 : searchlike - searchlikeexb.exe (2015.6.28)

반응형

네이버(Naver) 접속시 11번가 광고창 생성 및 인터넷 검색시 다양한 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램<SHA-1 : 9b13efe029ba2d114a2e7aea23982c5e9af07224 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.amc (VT : 32/55)>의 변종에 대해 살펴보도록 하겠습니다.

 

searchlike 광고 프로그램은 2013년부터 최근까지 지속적인 변종 제작을 통해 배포가 이루어지고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexa.exe
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll

 

[생성 파일 진단 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe
 - SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
 - avast! : Win32:Adware-BGX [Adw] (VT : 34/55)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
 - SHA-1 : 2057b5780314a37d67b0559d646f3c6857642bfa
 - AhnLab V3 365 Clinic : PUP/Win32.SearchLike.R85894 (VT : 35/55)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexa.exe
 - SHA-1 : 0ec455ac54e31db66389673f242319bd51aa2db6
 - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.C353713 (VT : 37/55)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
 - SHA-1 : e89204c50003f48ba32df06bd7252d3a4bcf8a85
 - AVG : Generic5.ATYM (VT : 34/55)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
 - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
 - AhnLab V3 365 Clinic : PUP/Win32.HubHelper.R91762 (VT : 33/54)

"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 숨김(H) 속성값을 가진 폴더 내의 "C:\Users\(사용자 계정)\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

 

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe" 파일을 시작 프로그램(searchlike)으로 등록하여 자동 실행됩니다.

자동 실행된 searchlike.exe 파일은 특정 서버에서 프로그램 업데이트 정보를 체크한 후 일정 시간이 경과하면 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe" 파일을 로딩하여 광고 구성값을 체크한 후 메모리에 상주시킵니다.

이 과정에서 searchlikeexb.exe 파일은 리소스에 포함된 광고 모듈을 추출하여 "C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll" 파일로 생성하여 로딩합니다.

searchlike 광고 프로그램이 설치된 환경에서 최초 네이버(Naver) 포털 사이트 접속시 2종의 11번가 광고창이 자동 생성됩니다.

또한 특정 검색 키워드로 인터넷 검색을 시도할 경우 자동으로 광고창을 생성하는 동작을 수행합니다.

 

searchlike 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 searchlikeexb.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "searchlike" 삭제 항목을 이용하여 프로그램 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchlike = C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike

 

searchlike 광고 프로그램은 예전부터 꾸준하게 배포가 이루어지고 있으며, 프로그램이 설치된 환경에서 인터넷 검색 및 특정 웹 사이트 접속시 원치않는 광고창 생성으로 불편을 유발하므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형