검색 도우미 : revealing (ts)

국내에서 제작된 검색 도우미 revealing (ts) 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 제휴(스폰서) 프로그램 설치시 [Slineguide]로 소개되고 있는 것으로 알려져 있습니다.

해당 프로그램은 [C:\Program Files\revealing\bottombar] 폴더에 파일을 생성하고 있으며, 설치된 환경에서는 Internet Explorer와 연동하여 동작하도록 구성되어 있습니다.

프로그램의 기본적인 동작 방식은 웹 브라우저에서 사용자가 특정 검색을 통해 접속한 사이트의 하단에 추천 사이트 광고바가 생성되는 것을 확인할 수 있습니다.

해당 광고바에서는 어떠한 프로그램으로 인한 동작인지 사용자가 쉽게 확인하기 어렵게 구성되어 있습니다.

revealing (ts) (게시자 : revealing (ts))
 - CLSID : {F8B92AB4-A920-414E-B237-7B5DCAA4015F}
 - C:\Program Files\revealing\bottombar\revealing_ts.dll

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 revealing_ts.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고 생성 동작이 있는 것을 확인할 수 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 종료한 상태에서 제어판의 [revealing (ts)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 14자리 숫자)revealing (ts)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\slineupdate.exe

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\slineguide.DLL
HKEY_CLASSES_ROOT\AppID\{3DF1AE6B-4CBF-4180-9CA6-2AC9B3586BE4}
HKEY_CLASSES_ROOT\CLSID\{F8B92AB4-A920-414E-B237-7B5DCAA4015F}
HKEY_CLASSES_ROOT\Interface\{6DDA2376-B50C-4098-81E5-D340CD7A42F3}
HKEY_CLASSES_ROOT\slineguide.slineguide
HKEY_CLASSES_ROOT\slineguide.slineguide.1
HKEY_CLASSES_ROOT\TypeLib\{7F46B0DD-3CF8-4DAE-93D2-D3CD34064682}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F8B92AB4-A920-414E-B237-7B5DCAA4015F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\revealing (ts)
HKEY_LOCAL_MACHINE\SOFTWARE\revealing (ts)

이 프로그램의 경우 최초 동의를 통해 설치되는 과정에서 제시된 이름과 실제 설치된 프로그램의 명칭이 달라서 차후 사용자가 어떤 프로그램인지 제대로 인지하기 힘든 문제가 있다고 판단됩니다.