본문 바로가기

벌새::Analysis

[삭제] 검색 도우미 : 티비서치(TIBI Search)

728x90
반응형
EDMSoft 업체에서 서비스하는 검색 도우미 티비서치(TIBI Search) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 경우 테스트 과정에서 프로그램이 제공하는 삭제 기능이 제대로 동작하지 않는 것으로 1차적으로 확인을 하였지만, 삭제 항목을 2개로 구성하여 실제 사용자들이 착각할 수 있는 부분이 있기에 정리를 하도록 하겠습니다.

제작사에서 제공하는 설치 파일을 이용하여 설치를 하면 그림과 같이 프로그램상의 이용약관이나 설치 경로에 대한 정보는 확인할 수 없습니다.

설치가 완료되는 시점에서 시스템 트레이 상에 그림과 같은 광고 팝업창이 생성되는 것을 확인할 수 있습니다.

처음에는 네이트온(NateOn) 메신저에서 제공하는 광고창으로 착각하였습니다.

생성 폴더, 파일 정보

해당 프로그램은 일반적인 프로그램의 설치 경로인 %ProgramFiles%가 아닌 C 드라이브 상에 폴더를 생성하고 있습니다.

시스템 트레이 상에 존재하는 티비서치 아이콘의 환경설정을 열어보면, 그림과 같이 자동으로 발급 아이디가 생성이 되어 있으며 기본값으로 윈도우 시작시 자동 실행은 체크가 해제된 상태임을 확인할 수 있습니다.

하지만 해당 배포 사이트에서는 회원 가입 경로 자체가 존재하지 않기에 이렇게 아이디 생성을 임의로 하는 경우 해당 아이디는 어떤 방식으로 활용되는지 사용자가 확인할 길이 없어 보입니다.

[시작 프로그램 등록 정보]

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - TiBiBar = "C:\TiBiSearch\TiBiBar.exe" -hide


또한 실제로는 위와 같이 자동으로 시작 프로그램에 등록이 되어 윈도우 시작시 자동으로 실행되도록 구성되어 있는 것을 확인할 수 있습니다.

Internet Explorer를 실행할 경우 초기에 기본 검색 공급자를 TiBi서치로 변경할지 여부를 묻는 것을 확인할 수 있으며, 해당 검색 공급자를 이용하여 검색을 할 경우 야후(Yahoo) 검색을 이용하는 것을 확인할 수 있었습니다.

프로그램의 삭제는 제어판에서 확인할 경우 [TiBiSearch] 삭제 항목만을 사용자가 찾아서 삭제를 하는 경향이 강하다고 볼 수 있습니다.

실제 해당 항목을 이용하여 삭제를 시도할 경우 그림과 같이 업데이트 정보 확인을 거쳐 삭제가 되었다는 메시지가 나오지만 생성 파일은 전혀 삭제가 되지 않고 있습니다.

이에 제어판을 조금 더 자세히 살펴보면 하단에 [WinTiBiEngine] 삭제 항목이 추가로 존재한 것을 확인할 수 있으며, 해당 프로그램이 생성한 파일을 삭제하는 것을 확인할 수 있었습니다.

하지만 삭제 후에도 시작 프로그램 등록 정보 등 일부 레지스트리 항목의 삭제가 완전하지 않으므로 다음의 레지스트리 정보를 확인하여 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{2A85B376-5D78-4A2C-B033-EB80D626167F}
HKEY_CLASSES_ROOT\Interface\{5CF9DC16-B6FE-410D-873B-E29CDD8CE94B}
HKEY_CLASSES_ROOT\Interface\{D63FC810-67E4-4FD7-BEDF-9C82F992BEE7}
HKEY_CLASSES_ROOT\TypeLib\{9F9D0140-2F51-443B-BA18-FCB60886D4BF}
HKEY_CLASSES_ROOT\WowBarPlugin.WowToolBHO
HKEY_CLASSES_ROOT\WowBarPlugin.WowToolBHO.1
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{2A85B376-5D78-4A2C-B033-EB80D626167F}
HKEY_LOCAL_MACHINE\software\Classes\CLSID\{2A85B376-5D78-4A2C-B033-EB80D626167F}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{5CF9DC16-B6FE-410D-873B-E29CDD8CE94B}
HKEY_LOCAL_MACHINE\software\Classes\Interface\{D63FC810-67E4-4FD7-BEDF-9C82F992BEE7}
HKEY_LOCAL_MACHINE\software\Classes\TypeLib\{9F9D0140-2F51-443B-BA18-FCB60886D4BF}
HKEY_LOCAL_MACHINE\software\Classes\WowBarPlugin.WowToolBHO
HKEY_LOCAL_MACHINE\software\Classes\WowBarPlugin.WowToolBHO.1
HKEY_LOCAL_MACHINE\software\microsoft\Internet Explorer\SearchScopes\{2A85B376-5D78-4A2C-B033-EB80D626167F}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2A85B376-5D78-4A2C-B033-EB80D626167F}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - TiBiBar = "C:\TiBiSearch\TiBiBar.exe" -hide
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{6EDBFC8E-EFA0-4259-B1BC-1AABAA39E08E}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\{D4ECBE1F-A156-4A4F-A79E-E5B8589EFBDC}
HKEY_LOCAL_MACHINE\software\OsbornTech
HKEY_LOCAL_MACHINE\software\twowbar

728x90
반응형