본문 바로가기

벌새::Analysis

검색 도우미 : Buddy Search

반응형
국내에서 제작되어 인터넷 검색시 웹 브라우저 좌측 사이드바에 스폰서 링크 광고가 노출되는 검색 도우미 Buddy Search 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 다양한 종류가 존재하며 설치 파일에 따라 생성 폴더(파일), 레지스트리 정보가 다를 수 있으므로 참고하시기 바랍니다.

[생성 폴더 / 파일 등록 정보]

C:\Buddy Search
C:\Buddy Search\Temp
C:\Mini Search
C:\Mini Search\Temp
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\ads.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbar.dll
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbho.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\BuddySetup.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\dss.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\msengine.dll
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\nads.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\osb.dat
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\rec.exe
C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\version.txt

해당 프로그램은 [C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search] 폴더에 파일을 생성하며, Windows 시작시 BuddySetup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.


프로그램이 설치된 환경에서 사용자가 인터넷 검색을 통한 사이트 접근시 웹 브라우저 좌측 사이드바 형태로 스폰서 링크가 노출되는 것을 확인할 수 있습니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

ClientMetaSearch Control
 - 게시자 : OPEN.co., ltd
 - CLSID : {89FBF526-AB75-4D2D-AB79-C64221C7F354}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\msengine.dll

Buddy Search
 - 게시자 : OPEN.co., ltd
 - CLSID : {6FACFC3D-5C5E-4A12-828F-5F9CBA84CF17}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbho.dll

Buddy Search
 - 게시자 : OPEN.co., ltd
 - CLSID : {FC9AA429-C7AD-460C-9B8D-EEB0434A77BC}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\bdbar.dll

해당 프로그램의 프로세스 정보를 살펴보면 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 msengine.dll / bdbho.dll / bdbar.dll 3개의 dll 파일을 추가하여 동작합니다.
 
그러므로 프로그램 삭제시에는 반드시 Internet Explorer를 모두 종료한 상태에서 삭제를 시도하시기 바랍니다.


프로그램에서는 제어판의 [Buddy Search] 삭제 항목을 이용하여 삭제를 할 수 있도록 지원하고 있지만, 기본값으로 제시되는 삭제 방식으로는 정상적으로 프로그램 삭제가 이루어지지 않는 것을 확인하였습니다.

프로그램을 정상적으로 삭제하기 위해서는 삭제 과정에서 제시되는 [다음 계정으로 실행]창에서 반드시 [권한 없는 프로그램 동작으로부터 내 컴퓨터 및 데이터 보호] 항목의 체크를 해제하시고 삭제를 시도하시면 정상적으로 삭제가 이루어집니다.

그러므로 글에서 제시한 폴더(파일), 레지스트리 정보를 바탕으로 수동으로 프로그램을 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{6FACFC3D-5C5E-4A12-828F-5F9CBA84CF17}
HKEY_CLASSES_ROOT\CLSID\{89FBF526-AB75-4D2D-AB79-C64221C7F354}
HKEY_CLASSES_ROOT\CLSID\{FC9AA429-C7AD-460C-9B8D-EEB0434A77BC}
HKEY_CURRENT_USER\Software\Buddy Search
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{03650ADB-DDC4-4F6F-BFC1-AE81E5F824F2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{109AA1F9-DCC0-4744-B82F-3A29515AAAD9}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{225C1D71-13D3-4452-B235-85199A3C29C2}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{668F8B2E-8C37-4C38-A78E-8CB206AB0C1F}
HKEY_LOCAL_MACHINE\software\BUDDY SEARCH
HKEY_LOCAL_MACHINE\software\GamesumPkg
HKEY_LOCAL_MACHINE\software\GamesumPkg\Buddy Search
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Explorer Bars\{FC9AA429-C7AD-460C-9B8D-EEB0434A77BC}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6FACFC3D-5C5E-4A12-828F-5F9CBA84CF17}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - Buddy Search = "C:\Documents and Settings\(사용자 계정)\Application Data\Buddy Search\BuddySetup.exe"
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\Buddy Search

동일한 이름의 광고 프로그램 중에서는 레지스트리 정보가 설치 파일에 따라 다르게 설치가 이루어지는 경우가 발견되므로 참고하시기 바랍니다.
반응형