본문 바로가기

벌새::Analysis

검색 도우미 : 서치킹(SearchKing)

반응형
국내에서 제작된 검색 도우미 서치킹(SearchKing) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 Setup 설치 파일(MD5 : a14c7049c7ad604b5f2ccdee060706e9)에 대하여 AVG 보안 제품에서는 Generic4.OTM (VirusTotal : 13/41) 진단명으로 진단을 하고 있는 것을 확인할 수 있습니다.

생성 폴더, 파일 정보



해당 프로그램이 설치된 환경에서 기본적인 동작 방식은 사용자가 Internet Explorer에서 제공하는 네이버(Naver) 또는 다음(Daum) 검색 공급자에 특정 검색어를 입력하여 검색시 강제적으로 야후(Yahoo) 검색 결과를 출력하도록 하는 것을 확인할 수 있습니다.


해당 동작은 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 searchking.dll 파일을 BHO 방식으로 추가하여 정상적인 웹 브라우저 기능을 프로그램이 제공하는 검색 결과로 변경을 시키는 방식입니다.


프로그램의 삭제는 제어판의 [searchking] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%Program Files%\searchking\uninstall.exe] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{80C39A95-5490-430E-97D5-A46798387856}
HKEY_CURRENT_USER\Software\Freechal Corp\searchking
HKEY_CURRENT_USER\Software\searchking
HKEY_LOCAL_MACHINE\SOFTWARE\Freechal Corp\searchking
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{80C39A95-5490-430E-97D5-A46798387856}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\searchking

728x90
반응형
  • 벌새님 글을 볼 때마다.. 이렇게 많은 프로그램들이 있구나..하며 놀라곤 한답니다. =ㅁ=

    • 제가 작성하는 이런 프로그램은 셀 수 없이 많습니다.

      거의 이름만 변경된 형태로 너무 많이 만들어져서... 그리고 국내 보안 제품에서 진단을 하면 또 변경하고~

      법적으로 큰 문제가 없어서 악순환이죠~