울지않는벌새 : Security, Movie & Society

검색 도우미 : Searcha

벌새::Analysis
국내에서 제작되어 인터넷 검색시 Internet Explorer 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 Searcha 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 SearchLite, SideOn 계열 검색 도우미 프로그램들과 유사성이 강하므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Program Files\Searcha
C:\Program Files\Searcha\1
C:\Program Files\Searcha\Searcha.dll :: BHO 등록 파일
C:\Program Files\Searcha\Searcha.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\Searcha\setting.dat
C:\Program Files\Searcha\Uninstall.exe :: 프로그램 삭제 파일


해당 프로그램은 Windows 시작시 Searcha.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 통한 인터넷 검색 과정에서 사이드바 광고를 통해 추천 사이트를 노출하는 동작을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

SearchaHelper Class

 - 게시자 : WooJung ITS
 - CLSID : {D5EF8476-34F2-466C-A729-F69250878C83}
 - 파일 : C:\Program Files\Searcha\Searcha.dll

Searcha
 - 게시자 : WooJung ITS
 - CLSID : {923839C3-B5BB-4264-9FDD-38BB281E61DC}
 - 파일 : C:\Program Files\Searcha\Searcha.dll

해당 광고 동작의 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 SearchaHelper Class, Searcha 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

프로세스 정보를 살펴보면 시작 프로그램으로 등록되어 자동 실행된 Searcha.exe 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 Searcha.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료와 작업 관리자에서 Searcha.exe 프로세스를 수동으로 종료한 상태에서 제어판의 [Searcha] 삭제 항목을 이용하여 삭제하실 수 있습니다.


[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Searcha
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{923839C3-B5BB-4264-9FDD-38BB281E61DC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D5EF8476-34F2-466C-A729-F69250878C83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A583FFE8-C0D8-41CE-BB1F-A6F91FFB4B3A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C3F1A07B-02F6-4F5A-AEB6-E186F2CD68AA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Searcha.BandHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Searcha.BandHelper.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Searcha.SideBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Searcha.SideBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1C54D177-DBF1-4989-ACCD-4B5C4C254760}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{D5EF8476-34F2-466C-A729-F69250878C83}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - Searcha = C:\Program Files\Searcha\Searcha.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Searcha


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, Internet Explorer 웹 브라우저에 생성되는 사이드바 광고가 어떤 프로그램으로 인한 동작인지 확인하기 어렵다는 점에서 주의하시기 바랍니다.