● 1차 작성 : 2009년 7월 20일
● 2차 작성 : 2010년 5월 17일 - 프로그램 업데이트로 인한 전체 수정
● 2차 작성 : 2010년 5월 17일 - 프로그램 업데이트로 인한 전체 수정
국내에서 제작되어 각종 제휴(스폰서) 프로그램 방식으로 설치가 이루어지고 있는 검색 도우미 서치팟(SearchPot) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 46ea7d128f6ad013aa8f382aaef910d6)에 대하여 avast! 보안 제품에서는 Win32:Agent-AIBW [PUP] (VirusTotal : 12/41) 진단명으로 진단되고 있습니다.
[관련 URL 정보]
h**p://search.search***.co.kr/install.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/elist.ini
h**p://search.search***.co.kr/update/SP17/SearchPot.ini
h**p://search.search***.co.kr/update/SP17/SPU1011.exe
h**p://search.search***.co.kr/uninstall.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/install.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/elist.ini
h**p://search.search***.co.kr/update/SP17/SearchPot.ini
h**p://search.search***.co.kr/update/SP17/SPU1011.exe
h**p://search.search***.co.kr/uninstall.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
해당 프로그램은 Windows 시작시 SearchPot.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
해당 사이드바의 하단에서는 [SEARCHPOT] 표기를 통해 프로그램의 이름을 확인하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 제거하시기 바랍니다.
C:\Program Files\SearchPot
C:\Program Files\SearchPot\SearchPot.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SPU1011.exe
C:\Program Files\SearchPot\SearchPot.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SPU1011.exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_CLASSES_ROOT\CLSID\{7CD7FF83-EBD1-423C-BFE5-E442BE6F4C99}
HKEY_CLASSES_ROOT\Interface\{4AB1F123-DCF6-4D25-B4AB-E1C9C04619D4}
HKEY_CLASSES_ROOT\Interface\{552AB65B-CD04-4764-BB8A-85F0BE7836FF}
HKEY_CLASSES_ROOT\SearchPot.SPBand
HKEY_CLASSES_ROOT\SearchPot.SPBand.1
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl.1
HKEY_CLASSES_ROOT\TypeLib\{AC52A850-F3B1-401B-9DB3-6DD5B332888E}
HKEY_CLASSES_ROOT\TypeLib\{B649D50C-42C0-4464-AF8B-8A2A4D7008B8}
HKEY_CURRENT_USER\Software\SearchPot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SearchPot = C:\Program Files\SearchPot\SearchPot.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchPot
HKEY_CLASSES_ROOT\CLSID\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_CLASSES_ROOT\CLSID\{7CD7FF83-EBD1-423C-BFE5-E442BE6F4C99}
HKEY_CLASSES_ROOT\Interface\{4AB1F123-DCF6-4D25-B4AB-E1C9C04619D4}
HKEY_CLASSES_ROOT\Interface\{552AB65B-CD04-4764-BB8A-85F0BE7836FF}
HKEY_CLASSES_ROOT\SearchPot.SPBand
HKEY_CLASSES_ROOT\SearchPot.SPBand.1
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl.1
HKEY_CLASSES_ROOT\TypeLib\{AC52A850-F3B1-401B-9DB3-6DD5B332888E}
HKEY_CLASSES_ROOT\TypeLib\{B649D50C-42C0-4464-AF8B-8A2A4D7008B8}
HKEY_CURRENT_USER\Software\SearchPot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SearchPot = C:\Program Files\SearchPot\SearchPot.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchPot
참고로 특히 해당 프로그램은 최근 스팸성 블로그를 중심으로 국내외 소프트웨어 다운로드 파일 내부에 추가되어 실제 소프트웨어 다운로드는 이루어지지 않으면서 자동으로 설치되는 것을 확인하였으므로 주의가 요구됩니다.
수십개의 Blog를 통해 정상적인 프로그램인것처럼 허위 유포되고 있으니 조심해야할것 같습니다.