본문 바로가기

벌새::Analysis

검색 도우미 : Mini-Search

반응형
국내에서 제작되어 인터넷 검색을 할 경우 웹 브라우저 좌측의 사이드바 형태로 광고를 출력하는 검색 도우미 Mini-Search 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존에 살펴본 미니검색(Mini Search)의 변경된 형태로 추정됩니다.

또한 위의 검색 도우미 프로그램들과 유사성이 강하므로 참고하시기 바랍니다.

해당 프로그램은 [Mini Search] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 hdupdater.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 파일 버전 체크를 하도록 구성되어 있습니다.

테스트 과정에서는 구현되지 않았지만, 기존의 유사 프로그램들과 마찬가지로 특정 검색어를 통한 검색시 좌측 사이드바 형태로 추천 사이트 등의 정보를 출력할 것으로 추정됩니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

Mini-Search

 - 게시자 : SearchLink Co., Ltd.
 - CLSID : {3DE538FA-DDB6-40BB-ABFD-FE66CF579654}
 - 파일 : C:\Program Files\Mini Search\hdbh.dll

Mini-Search
 - 게시자 : SearchLink Co., Ltd.
 - CLSID : {C7762398-2284-487B-B534-7826DED3562D}
 - 파일 : C:\Program Files\Mini Search\hdba.dll


프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 hdbh.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.


프로그램 삭제시에는 Internet Explorer를 완전히 종료한 상태에서 제어판의 [Mini-Search] 삭제 항목을 이용하여 삭제하실 수 있습니다.


또는 실행창에 ["C:\Program Files\Mini Search\hdupdater.exe" REMOVE] 명령어를 입력하여 프로그램 삭제를 하실 수 있으므로 참고하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일을 수동으로 삭제하시기 바랍니다.

C:\Temp\hdupdater.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search
C:\Documents and Settings\(사용자 계정)\Application Data\Mini Search\Temp

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\ClientMetaSearch.ClientMetaSearch
HKEY_CLASSES_ROOT\CLSID\{3DE538FA-DDB6-40BB-ABFD-FE66CF579654}
HKEY_CLASSES_ROOT\CLSID\{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_CLASSES_ROOT\CLSID\{C7762398-2284-487B-B534-7826DED3562D}
HKEY_CLASSES_ROOT\Interface\{115E6C42-6F14-4F9F-9A03-EABEB5E8A082}
HKEY_CLASSES_ROOT\Interface\{5B8501E4-75E0-429F-89E2-549CF97D1692}
HKEY_CLASSES_ROOT\TypeLib\{8C3A5DF0-DE2F-4EA2-B5D8-078C79F5B942}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C7762398-2284-487B-B534-7826DED3562D}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
 - ITBar7Height = 1b
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{89FBF526-AB75-4D2D-AB79-C64221C7F354}

HKEY_CURRENT_USER\Software\Mini Search
HKEY_LOCAL_MACHINE\software\GamesumPkg
HKEY_LOCAL_MACHINE\software\GamesumPkg\Mini-Search
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{C7762398-2284-487B-B534-7826DED3562D}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{03650ADB-DDC4-4F6F-BFC1-AE81E5F824F2}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{109AA1F9-DCC0-4744-B82F-3A29515AAAD9}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{225C1D71-13D3-4452-B235-85199A3C29C2}
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{668F8B2E-8C37-4C38-A78E-8CB206AB0C1F}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3DE538FA-DDB6-40BB-ABFD-FE66CF579654}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Ext\
PreApproved\{89FBF526-AB75-4D2D-AB79-C64221C7F354}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - Mini-Search = "C:\Program Files\Mini Search\hdupdater.exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Mini-Search
HKEY_LOCAL_MACHINE\software\Mini Search

사용자에게 불필요한 사이드바 등의 광고 프로그램은 인터넷 속도 저하 및 오류를 유발할 수 있으므로 정상적인 소프트웨어를 설치하는 과정에서 제휴(스폰서) 프로그램으로 추가되는 항목을 꼼꼼하게 살피시기 바랍니다.
반응형
  • winbbs 2010.09.18 18:26 댓글주소 수정/삭제 댓글쓰기

    최근에 일본산 FPS 게임, X-OPREATION의 한국명인 '미니서든'의 파일에 이상한 에드웨어가 끼이는거 같습니다. 주로 zip파일(정상적인 게임파일)이 아닌 exe 파일로 배급되고 있는거 보아하니. 여기 링크입니다.

    (1) http://naone.kr/down/mini.exe

    (2) http://starpds.com/bbs/download.php?bo_table=tb41&wr_id=2&no=0&xops096.exe

    (3) http://sia0720.springnote.com/pages/6270995/attachments/3820155?dummy=1282884890000

    • 정보 감사합니다.^^

      워낙 국내쪽에서 게임이나 유명 프로그램 설치 파일을 변경해서 설치시에 끼워넣기를 하는 배포 방식이 유행하고 있죠.

      확인 가능한 부분이 있는지 알아보겠습니다.

      마지막 스크린샷을 보니 다양한 애드웨어가 보이는 것 같군요.

  • winbbs 2010.09.18 18:30 댓글주소 수정/삭제 댓글쓰기

    또 있습니다.

    (4) http://go2.wordpress.com/?id=725X1342&site=gangadin.wordpress.com&url=http%3A%2F%2Fmdkk.springnote.com%2Fpages%2F5307727%2Fattachments%2F3036549&sref=http%3A%2F%2Fgangadin.wordpress.com%2F2010%2F03%2F04%2F%25CE%25B8-%25EB%25AF%25B8%25EB%258B%2588%25EC%2584%259C%25EB%2593%25A0%25EB%25A7%25B5%25EC%258A%25A4%25ED%2582%25A8%25CE%25B8%25EB%25AF%25B8%25EB%258B%2588%25EC%2584%259C%25EB%2593%25A0%25EC%258A%25A4%25ED%2582%25A8-%25EC%2597%2591%25EC%258A%25A4%25EC%2598%25A4%25ED%258D%25BC%25EB%25A0%2588%25EC%259D%25B4%25EC%2585%2598%2F

  • winbbs 2010.09.18 18:33 댓글주소 수정/삭제 댓글쓰기

    마지막으로, STAR PDS라는건 다음의 파일을 생성하는걸로 보입니다.

    http://image.threadic.com/images/eb9162455771b2b84169ca0d93dc510e887be54c.PNG

    • 제공해주신 정보를 통해 확인을 해보니 전체적으로 작년경부터 국내에서 유포 중인 광고 프로그램입니다.

      http://hummingbird.tistory.com/1727

      예전에 T-Solution / NS-Solution 등의 이름으로 유포가 이루어지고 있었으며, 각종 국내외 유명 소프트웨어, 게임 등으로 포장하여 설치시 다양한 프로그램을 강제적으로 설치를 합니다.

      다시 테스트를 해보니 설치 과정에서 워낙 많은 프로그램으로 인해 오류도 발생하더군요.

      이런 부분은 보안 제품 진단에 앞서 사용자가 설치시에 제대로 읽으면서 설치하는 것이 매우 중요하죠.ㅠㅠ

  • 유용한 정보 감사합니다.
    삭제 방법을 몰라 난감했었는데 한방에 해결했네요 :)
    퍼갈게요~

  • 감사 2010.10.27 20:02 댓글주소 수정/삭제 댓글쓰기

    맨날 컴퓨터가 안꺼졋는데 꺼지네요 감사해요