728x90
반응형
● 1차 작성 : 2009년 7월 20일
● 2차 작성 : 2010년 5월 17일 - 프로그램 업데이트로 인한 전체 수정
● 2차 작성 : 2010년 5월 17일 - 프로그램 업데이트로 인한 전체 수정
국내에서 제작되어 각종 제휴(스폰서) 프로그램 방식으로 설치가 이루어지고 있는 검색 도우미 서치팟(SearchPot) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 46ea7d128f6ad013aa8f382aaef910d6)에 대하여 avast! 보안 제품에서는 Win32:Agent-AIBW [PUP] (VirusTotal : 12/41) 진단명으로 진단되고 있습니다.
[관련 URL 정보]
h**p://search.search***.co.kr/install.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/elist.ini
h**p://search.search***.co.kr/update/SP17/SearchPot.ini
h**p://search.search***.co.kr/update/SP17/SPU1011.exe
h**p://search.search***.co.kr/uninstall.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/install.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
h**p://search.search***.co.kr/elist.ini
h**p://search.search***.co.kr/update/SP17/SearchPot.ini
h**p://search.search***.co.kr/update/SP17/SPU1011.exe
h**p://search.search***.co.kr/uninstall.asp?version=1.0.0.9&id=SP17&mac=(사용자 Mac Address)
해당 프로그램은 Windows 시작시 SearchPot.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
해당 사이드바의 하단에서는 [SEARCHPOT] 표기를 통해 프로그램의 이름을 확인하실 수 있습니다.
프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 제거하시기 바랍니다.
C:\Program Files\SearchPot
C:\Program Files\SearchPot\SearchPot.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SPU1011.exe
C:\Program Files\SearchPot\SearchPot.dll
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SPU1011.exe
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_CLASSES_ROOT\CLSID\{7CD7FF83-EBD1-423C-BFE5-E442BE6F4C99}
HKEY_CLASSES_ROOT\Interface\{4AB1F123-DCF6-4D25-B4AB-E1C9C04619D4}
HKEY_CLASSES_ROOT\Interface\{552AB65B-CD04-4764-BB8A-85F0BE7836FF}
HKEY_CLASSES_ROOT\SearchPot.SPBand
HKEY_CLASSES_ROOT\SearchPot.SPBand.1
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl.1
HKEY_CLASSES_ROOT\TypeLib\{AC52A850-F3B1-401B-9DB3-6DD5B332888E}
HKEY_CLASSES_ROOT\TypeLib\{B649D50C-42C0-4464-AF8B-8A2A4D7008B8}
HKEY_CURRENT_USER\Software\SearchPot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SearchPot = C:\Program Files\SearchPot\SearchPot.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchPot
HKEY_CLASSES_ROOT\CLSID\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_CLASSES_ROOT\CLSID\{7CD7FF83-EBD1-423C-BFE5-E442BE6F4C99}
HKEY_CLASSES_ROOT\Interface\{4AB1F123-DCF6-4D25-B4AB-E1C9C04619D4}
HKEY_CLASSES_ROOT\Interface\{552AB65B-CD04-4764-BB8A-85F0BE7836FF}
HKEY_CLASSES_ROOT\SearchPot.SPBand
HKEY_CLASSES_ROOT\SearchPot.SPBand.1
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl
HKEY_CLASSES_ROOT\SPHelper.SPHelperCtl.1
HKEY_CLASSES_ROOT\TypeLib\{AC52A850-F3B1-401B-9DB3-6DD5B332888E}
HKEY_CLASSES_ROOT\TypeLib\{B649D50C-42C0-4464-AF8B-8A2A4D7008B8}
HKEY_CURRENT_USER\Software\SearchPot
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{401E5CE3-2E10-46DA-9073-7DB0CA9797B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- SearchPot = C:\Program Files\SearchPot\SearchPot.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchPot
참고로 특히 해당 프로그램은 최근 스팸성 블로그를 중심으로 국내외 소프트웨어 다운로드 파일 내부에 추가되어 실제 소프트웨어 다운로드는 이루어지지 않으면서 자동으로 설치되는 것을 확인하였으므로 주의가 요구됩니다.
728x90
반응형