본문 바로가기

벌새::Analysis

검색 도우미 : Win Search forservice2

국내에서 제작되어 인터넷 검색시 광고 사이트를 생성하는 검색 도우미 Win Search forservice2 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 Win Search for 시리즈와 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\k.ctl
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\service2.dll :: BHO 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\service2.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\sdiskcis.exe :: 서비스 등록 파일
C:\WINDOWS\system32\sircheckfile.dat


해당 프로그램은 사용자가 찾기 어려운 [C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2] 폴더에 파일을 생성하며, Windows 시작시 service2.exe 파일을 시작 프로그램으로 등록하여 자동 실행되어 업데이트를 체크하도록 구성되어 있습니다.

또한 추가적으로 Storage Cache Interface Service 이름의 서비스 항목을 추가하여 시스템 시작시 자동 실행되도록 구성되어 있습니다.

GET /iaf/scai HTTP/1.1
Host: w**.partrevonline.net
Accept: text/html, */*
Accept-Encoding: identity
User-Agent: Mozilla/5.0 (Windows)


참고로 서비스로 등록된 sdiskcis.exe 파일은 국내 특정 서버에 연결을 시도한 후 서비스 중지 상태가 되도록 동작하고 있습니다.

해당 프로그램이 설치된 환경에서 사용자가 특정 검색어를 이용하여 인터넷 검색을 할 경우 광고 사이트가 생성되는 동작을 확인할 수 있습니다.

해당 광고창 생성시 접속 로그를 확인해보면 사용자 키워드 감시를 통해 특정 서버로 연결하여 광고가 생성되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

O

 - CLSID : {D628CABD-95B6-4B70-ADD4-86995E9E2A52}
 - 파일 : C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\service2.dll


해당 광고 동작을 중지하기 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 [O] 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 확인해보면 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 service2.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통해 광고 행위를 하는 것을 확인할 수 있습니다.

프로그램 삭제를 위해서는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [Win Search forservice2] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 서비스로 등록된 부분은 삭제가 이루어지지 않고, 시스템 시작시마다 동작하므로 차후 추가적인 다운로드 동작이 있을 수 있으므로 추가적으로 다음의 파일과 레지스트리 항목을 수동으로 삭제하시기 바랍니다.

  • C:\WINDOWS\system32\sdiskcis.exe (MD5 : 11C9A78273946FAE3A598C368F3661BC)
  • C:\WINDOWS\system32\sircheckfile.dat
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\GoodtransSet
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - service2 = C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\service2\service2.exe
HKEY_CURRENT_USER\Software\service2pp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D628CABD-95B6-4B70-ADD4-86995E9E2A52}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\service2.P
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\service2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D628CABD-95B6-4B70-ADD4-86995E9E2A52}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
service2

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SCAISVC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SCAISvc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCAISVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCAISvc


해당 프로그램은 프로그램 목록에 제시되지 않는 점과 사용자가 확인하기 어려운 폴더 위치에 설치되어 사용자의 눈을 속이고 있습니다.

또한 광고 동작이 어떤 프로그램으로 인한 문제인지 확인하기 어려우며, 서비스로 등록된 항목을 제거하지 않는다는 점에서 문제가 있으므로 주의하시기 바랍니다.