본문 바로가기

벌새::Analysis

검색 도우미 : 서치아이(SearchEye)

국내에서 제작된 검색 도우미 서치아이(SearchEye) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 서치아이 하단바, 사이드바 2가지 형태로 설치 파일을 제공하고 있으며, 설치시 사용자에게 설치와 관련된 어떠한 화면 정보도 제공하지 않고 있습니다.

1. 서치아이(SearchEye) 하단바



서치아이 하단바 프로그램(MD5 : dc981bc0b41b4723409daf7ae5843f79)은 [SearchEye PE] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 SearchEye PE.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

[SearchEye PE.exe 네트워크 연결 정보]

GET /pe/config2.php?pid=pe1 HTTP/1.1
Content-Type: text/html
Host: update.searcheye.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

해당 파일은 제작사 업데이트 서버에 접속하는 동작을 취하지만, 현재 정상적인 동작은 이루어지지 않는 것으로 보입니다.


프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 통해 검색 사이트에서 검색어를 입력하여 제시된 검색 결과 사이트를 접속할 경우, 그림과 같이 해당 검색어와 연관된 추천 사이트를 하단바 형태로 제시하도록 구성되어 있는 것을 확인할 수 있습니다.

참고로 하단바의 경우 어떠한 프로그램으로 인하여 동작하는지 표기를 하고 있지 않으므로 실제 사용자는 프로그램을 삭제하는데 어려움이 예상됩니다.


프로세스 정보를 살펴보면 시작 프로그램으로 등록된 SearchEye PE.exe 프로세스는 업데이트 서버에 접속하여 정보를 체크한 후 스스로 종료하도록 구성되어 있으며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 SearchEye PEb.dll 파일이 BHO 방식으로 추가되어 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Windows SearchEye Framework PE] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{084C5432-C09A-4636-8837-ACD6BEFCAE7A}
HKEY_CLASSES_ROOT\CLSID\{5CF8C4E5-EE1C-47BD-88AF-F3AEBE34EAB2}
HKEY_CURRENT_USER\Software\SearchEye PE
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SearchEye PE
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{084C5432-C09A-4636-8837-ACD6BEFCAE7A}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - SearchEye PE = C:\Program Files\SearchEye PE\SearchEye PEe.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SearchEye PE

2. 서치아이(SearchEye) 사이드바



서치아이 사이드바 프로그램(MD5 : e222e413a3cae5c3d56b2566cd98592a)은 [SearchEye SE] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 SearchEye SE.exe 파일을 시작 프로그램으로 등록하여 업데이트 서버와 연결하는 동작을 하도록 구성되어 있습니다.

[SearchEye SE.exe 네트워크 연결 정보]

GET /se/config2.php?pid=se1 HTTP/1.1
Content-Type: text/html
Host: update.searcheye.co.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

참고로 해당 업데이트 서버는 현재 정상적인 연결이 되지 않는 것으로 보입니다.


해당 프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 통해 검색 사이트에서 검색한 결과를 클릭할 경우 그림과 같이 사이드바에 스폰서 링크 관련 정보를 출력하도록 구성되어 있습니다.

사이드바에서는 [SearchEye SE] 표기를 통해 프로그램의 존재를 정상적으로 확인할 수 있습니다.


프로세스 정보를 살펴보면 시작 프로그램으로 등록된 SearchEye SE.exe 파일은 업데이트 서버와 연결을 시도한 후 스스로 종료되도록 구성되어 있으며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 SearchEye SEb.dll 파일을 BHO 방식으로 추가하는 동작을 확인할 수 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Windows SearchEye Framework SE] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{13972113-A960-497E-AF65-D812B4A2E1A0}
HKEY_CLASSES_ROOT\CLSID\{99A77544-5941-44E5-98E1-61D0D487B0FC}
HKEY_CLASSES_ROOT\SearchEye SE.sideup
HKEY_CURRENT_USER\Software\SearchEye SE
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SearchEye SE
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{13972113-A960-497E-AF65-D812B4A2E1A0}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - SearchEye SE = C:\Program Files\SearchEye SE\SearchEye SEe.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\SearchEye SE