울지않는벌새 : Security, Movie & Society

검색 도우미 : SearchFree - Win Search forsearchfree

벌새::Analysis
국내에서 제작된 검색 도우미 SearchFree - Win Search forsearchfree 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 국내 특정 악성코드 치료 프로그램을 설치할 경우 사용자 몰래 설치가 이루어지고 있으며, 정상적인 프로그램 설치 위치가 아닌 사용자가 찾기 어려운 위치에 설치를 하는 것이 특징입니다.

[설치 파일(MD5 : MD5 : 5a40cedee5af8db7042bd47d25de510d) 네트워크 연결 정보]

Http: Request, GET /searchfree.zip
Command: GET
URI: /searchfree.zip
ProtocolVersion: HTTP/1.1
ContentType: text/html
Host: up.searchfree.kr
Accept: text/html, */*
UserAgent: Mozilla/3.0 (compatible; Indy Library)
HeaderEnd: CRLF

해당 프로그램은 [%(사용자 계정)%\Local Settings\Application Data\searchfree] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 searchfrees.exe 파일을 시작 프로그램으로 등록하여 프로그램 업데이트 정보를 체크하도록 구성되어 있습니다.

[searchfrees.exe 네트워크 연결 정보]

GET /update.php HTTP/1.1
Content-Type: text/html
Host: searchfree.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

해당 프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 검색 사이트에서 특정 검색어를 입력할 경우, 그림과 같이 프로그램에서 제공하는 특정 인터넷 서비스를 팝업창 방식으로 생성하는 동작을 하는 것을 확인할 수 있습니다.

그 과정에서 파트너 아이디로 추정되는 값이 입력되어 생성된 서비스에 회원 가입을 통한 유료 결제가 발생할 경우 프로그램 배포자에게 금전적 이득이 발생할 것으로 생각됩니다.

프로세스 정보를 확인해보면 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 searchfree.dll 파일을 BHO 방식으로 등록하여 동작을 하는 것을 확인할 수 있습니다.

searchfree.dll

등록된 searchfree.dll 파일에는 특정 인터넷 서비스 정보를 포함하고 있으며, 사용자의 키워드 입력값을 통해 프로그램에서 지정한 사이트 정보가 출력되도록 구성되어 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Win Search forsearchfree] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\WINDOWS\system32\sircheckfile.dat] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{720D00DC-DB85-4662-9FB9-65B91D27B95E}
HKEY_CLASSES_ROOT\searchfree.P
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchfreevk = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\searchfree\searchfrees.exe
HKEY_CURRENT_USER\Software\searchfreepp
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\App Management\ARPCache\searchfree
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{720D00DC-DB85-4662-9FB9-65B91D27B95E}
HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Uninstall\searchfree