울지않는벌새 : Security, Movie & Society

검색 도우미 : 서치엔(SearchN)

벌새::Analysis
국내에서 제작된 검색 도우미 서치엔(SearchN) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램 제작사 웹 사이트에서 제공하는 Setup 설치 파일을 이용하여 설치시 설치 과정에서 그림과 같이 설치자의 Mac Address 정보 등을 기록하는 것을 확인할 수 있습니다.

생성 폴더, 파일 정보

해당 프로그램은 윈도우 시작시 Upgrader.exe 파일을 시작 프로그램으로 등록하여 업데이트 관련 정보를 체크하는 것을 확인할 수 있으며, 실제 프로그램 동작은 사용자가 Internet Explorer 웹 브라우저를 실행시 동작하도록 구성되어 있습니다.

프로그램의 기본 동작은 사용자가 Internet Explorer 웹 브라우저를 통해 검색 사이트에서 특정 검색어를 입력할 경우 자동으로 해당 검색어를 이용하여 웹 브라우저 좌측 사이드바에 추천 사이트 정보를 제공하는 방식입니다.

자신의 컴퓨터에 해당 프로그램이 설치되었는지 여부는 사이드바 상(하)단의 [SearchN] 표기를 통해 확인할 수 있습니다.

세부적으로 살펴보면 iexplore.exe 프로세스에 EADBho.dll 파일을 BHO 방식으로 추가하여 사용자 키워드 감시를 통해 프로그램에서 제공하는 추천 사이트 정보를 표기하도록 되어 있으며, 만약 해당 프로그램으로 인해 인터넷 사용시 불편을 겪거나 각종 오류 메시지(스크립트 오류), 시스템 자원 낭비 등으로 삭제를 원하실 경우에는 삭제를 하시기 바랍니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [SearchN] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\EADBho.DLL
HKEY_CLASSES_ROOT\AppID\EADIESideBar.DLL
HKEY_CLASSES_ROOT\AppID\{1A31D0C1-FA05-4194-B668-3D453061A975}
HKEY_CLASSES_ROOT\AppID\{23FA965D-DA64-4000-85B1-9D000D330B6C}
HKEY_CLASSES_ROOT\CLSID\{BA94501C-C21F-4ABA-B0AB-64859361CDAB}
HKEY_CLASSES_ROOT\CLSID\{D72D65E1-17EF-43A9-9C2C-B5E6DC6FB99E}
HKEY_CLASSES_ROOT\EADBho.BarControl
HKEY_CLASSES_ROOT\EADBho.BarControl.1
HKEY_CLASSES_ROOT\EADIESideBar.IESideBar
HKEY_CLASSES_ROOT\EADIESideBar.IESideBar.1
HKEY_CLASSES_ROOT\Interface\{04ACF0A5-DF85-486A-936F-2C49E830F124}
HKEY_CLASSES_ROOT\Interface\{633D430F-9224-4B23-A27F-9B3312A107A5}
HKEY_CLASSES_ROOT\TypeLib\{273DCD74-60EA-45F2-85A0-0993557574DE}
HKEY_CLASSES_ROOT\TypeLib\{9C5A62A5-8AF2-4D87-A54D-2C3AA09D0CC2}
HKEY_CURRENT_USER\Software\EnestAD
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{D72D65E1-17EF-43A9-9C2C-B5E6DC6FB99E}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 - {D72D65E1-17EF-43A9-9C2C-B5E6DC6FB99E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SearchN Live Update = C:\Program Files\SearchN\Upgrader.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA94501C-C21F-4ABA-B0AB-64859361CDAB}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SearchN