본문 바로가기

벌새::Analysis

검색 도우미 : 퀵서치(QuickSearch)

국내에서 제작된 검색 도우미 퀵서치(QuickSearch) 프로그램에 대해 살펴보도록 하겠습니다.

생성 폴더, 파일 정보


해당 프로그램은 [quick-search] 폴더에 프로그램을 설치하고 있으며, 윈도우 시작시 quick-searche.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 프로그램 업데이트 등을 체크하고 자동 종료됩니다.


해당 프로그램의 기본 동작은 사용자가 Internet Explorer를 실행하여 검색 사이트에서 제시하는 사이트를 열었을 경우, 좌측 사이드바에 추천 사이트 광고를 출력하는 것을 확인할 수 있습니다.

사이드바에서는 [quick-search, QUICKSEARCH 퀵서치] 표기를 통해 프로그램 동작을 확인할 수 있습니다.


사이드바에 출력되는 광고는 그림과 같이 오버추어(Overture) 광고 코드가 포함되어 있으며, 사용자가 해당 광고 경로를 통해 회원 가입 및 물품 구매 행위가 발생시 프로그램 배포자에게 수익이 돌아갈 것으로 추정됩니다.


자세한 동작을 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 quick-searchb.dll 파일을 BHO 방식으로 추가하여 사용자 키워드 감시를 통한 프로그램에서 제공하는 광고를 사이드바 형태로 출력하는 동작을 취하고 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [quick-search uninstall] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{109038C2-71C0-47EA-9691-15A4A2B0CAB1}
HKEY_CLASSES_ROOT\CLSID\{B0237F91-6080-4CB6-9F1C-C6A6A8F99869}
HKEY_CLASSES_ROOT\quick-search.sideup
HKEY_CURRENT_USER\Software\noquick-search
HKEY_CURRENT_USER\Software\quick-search
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\quick-search
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{109038C2-71C0-47EA-9691-15A4A2B0CAB1}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - quick-search = C:\Program Files\quick-search\quick-searche.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\quick-search