인터넷 검색 및 웹 사이트 접속 과정에서 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램<SHA-1 : dfdfbfc2ebbd00fddac38078e0761ba6d8b8ab9c - Hauri ViRobot : Adware.Searchlike.230552.A[h] (VT : 39/54)>의 새로운 변종이 확인되어 살펴보도록 하겠습니다.

2013년 하반기경에 첫 등장한 searchlike 광고 프로그램은 지속적으로 파일 이름을 변경하는 방식으로 배포가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll

 

[생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe
 - SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
 - avast! : Win32:Adware-BGX [Adw] (VT : 34/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
 - SHA-1 : 038240592d8bb2dc50a8c71b8ed781f93f45b1fe
 - BitDefender : Gen:Variant.Adware.Strictor.46228 (VT : 39/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
 - SHA-1 : 9bc400abc24bb8fc41a4793bcf0be3dc463a7c65
 - Hauri ViRobot : Trojan.Win32.S.Agent.1073304[h] (VT : 37/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe
 - SHA-1 : e3b2ca51d4996a3c8b83c38057935734b7afa43c
 - AhnLab V3 365 Clinic : PUP/Win32.NKsolution.R85482 (VT : 36/51)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
 - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.alt (VT : 34/53)

"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe" 파일을 시작 프로그램(searchlike)으로 등록하여 자동 실행된 후 1분이 경과하면 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe" 파일을 로딩하여 메모리에 상주시킵니다.

실행된 searchlikeexc.exe 파일은 리소스에 저장된 PE 파일을 추출하여 "C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll" 광고 모듈을 생성하여 메모리에 상주시킵니다.

searchlike 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창을 자동으로 생성하여 불편을 유발할 수 있습니다.

 

searchlike 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 searchlikeexc.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 삭제 항목을 실행하여 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchlike = C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike

 

searchlike 프로그램은 지속적으로 광고 기능을 수행하는 파일 이름을 변경하는 방식으로 장기간 활동하는 광고 프로그램이므로 설치로 인하여 원치않는 광고 생성으로 불편을 겪는 일이 없도록 하시기 바랍니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..