울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : 싸이올드게임 Cy-Search

벌새::Analysis
국내에서 제작되어 [CySearch 주소창 검색 서비스]라는 이름으로 설치를 유도하는 제휴(스폰서) 프로그램 싸이올드게임 Cy-Search에 대해 살펴보도록 하겠습니다.

참고로 해당 프로그램은 동일 제작사로 판단되는 스마트바(SmartBar), 스마트고(SmartGo) 등의 프로그램이 함께 설치 옵션으로 될 수 제시될 수 있으므로 참고하시기 바랍니다.

해당 프로그램은 Windows 시작시 CySearchUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램의 기본적인 동작 방식은 사용자가 인터넷을 이용하는 과정에서 프로그램에서 지정한 특정 광고 사이트가 그림과 같이 열리는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

CySearch
 - 게시자 : Cyebiz
 - CLSID : {000D51DD-18E2-4D85-919A-10E3746C3F1C}
 - 파일 : C:\Program Files\cysearch\CySearch.dll

AdPopupB
 - 게시자 : Cyebiz
 - CLSID : {397CFDD8-762F-44D4-9517-E3969F89639E}
 - 파일 : C:\Program Files\cysearch\ADPopupCS.dll

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 CySearch.dll / ADPopupCS.dll 2개의 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 열려진 Internet Explorer를 모두 종료한 상태에서 제어판의 [싸이올드게임 Cy-Search] 삭제 항목을 이용하여 삭제하실 수 있습니다.

삭제 과정에서는 그림과 같이 프로그램에서 제시하는 임의의 4자리를 입력해야지 삭제가 가능하므로 참고하시기 바랍니다.

프로그램 삭제 후에는 추가적으로 다음의 파일을 수동으로 삭제하시기 바랍니다.

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\adpopbrowser.ini
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\CSUninstall.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\popupadproperty.ini
[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\ADPopup.AdPopupB
HKEY_CLASSES_ROOT\ADPopup.AdPopupB.1
HKEY_CLASSES_ROOT\Chainword.ChainwordH
HKEY_CLASSES_ROOT\Chainword.ChainwordH.1
HKEY_CLASSES_ROOT\CLSID\{000D51DD-18E2-4D85-919A-10E3746C3F1C}
HKEY_CLASSES_ROOT\CLSID\{397CFDD8-762F-44D4-9517-E3969F89639E}
HKEY_CLASSES_ROOT\Interface\{558F0750-A89A-485D-B87C-229C69F5A31B}
HKEY_CLASSES_ROOT\Interface\{88F1E09F-3F83-42C5-9277-3CD45D52B891}
HKEY_CLASSES_ROOT\TypeLib\{385C0D99-6011-47E2-8E1F-A20C683BC890}
HKEY_CLASSES_ROOT\TypeLib\{7BA6DF99-65C4-4135-8FF2-6AECC28D0AAF}
HKEY_LOCAL_MACHINE\SOFTWARE\CySearch
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{000D51DD-18E2-4D85-919A-10E3746C3F1C}

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{397CFDD8-762F-44D4-9517-E3969F89639E}

HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Run
 - CySearchUpdate = C:\Program Files\cysearch\CySearchUpdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\microsoft\Windows\CurrentVersion\Uninstall\
CySearch


인터넷을 이용하는 과정에서 자신도 모르게 특정 사이트가 자동으로 생성되는 동작 등이 발견될 경우 사용자는 어떤 프로그램으로 인한 동작인지 확인하기 매우 어려우므로 주의가 요구됩니다.