본문 바로가기

벌새::Analysis

[삭제] Searchhost

반응형
제휴(스폰서) 프로그램과 같은 경로를 통해 배포가 이루어지는 프로그램 중에서는 실제 사용자가 프로그램이 설치되는지 제대로 인식하지 못하는 과정에서 설치되거나 정확한 기능을 알 수 없는 프로그램이 설치되는 경우가 다반사일 것으로 판단됩니다.

최근 기능을 알 수 없는 "조이찬스(JoyChance)"라는 이름으로 설치된 경우, 사용자가 프로그램에서 제공하는 삭제 기능을 이용하여 삭제 후에도 여전히 시작 프로그램에 등록하여 차후 추가적인 다운로드가 있을 것으로 추정되는 Searchhost 프로그램에 대해 살펴보도록 하겠습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\Searchhost
C:\Program Files\Searchhost\BKeeper.dll
C:\Program Files\Searchhost\searchhost.dat
C:\Program Files\Searchhost\Searchhost.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\Searchhost\SearchhostUpdate.exe :: 시작 프로그램 등록 파일
C:\Program Files\Searchhost\Uninstall.exe :: 프로그램 삭제 파일
C:\WINDOWS\system32\remover.exe

해당 프로그램은 [C:\Program Files\Searchhost] 폴더에 파일을 생성하며, Windows 시작시 Searchhost.exe, SearchhostUpdate.exe 2개의 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

또한 Windows 방화벽에 Searchhost, SearchhostUpdate라는 이름을 예외 프로그램에 등록하여, 시작 프로그램에 등록된 Searchhost.exe, SearchhostUpdate.exe 파일이 방화벽에서 차단되지 않도록 예외 처리를 하고 있습니다.

프로그램이 설치된 환경에서 Searchhost.exe 프로세스가 메모리에 상주하며, 해당 파일은 "Windows 검색 작업 관리자"로 등록되어 있는 것을 확인할 수 있습니다.

참고로 Searchhost.exe 파일은 시작 프로그램으로 등록되어 프로그램 버전 및 부팅 카운터 체크 동작을 하고 있습니다.

또 다른 시작 프로그램으로 등록된 SearchhostUpdate.exe 파일은 시스템 시작시마다 특정 서버에 접속하여 추가적인 번들(Bundle) 프로그램(제휴/스폰서)을 체크하는 동작을 확인할 수 있습니다.

이를 종합해볼 때 실제 해당 프로그램은 사용자에게 유용한 기능을 제공하기 보다는 차후 사용자 몰래 추가적인 프로그램을 설치하거나 업데이트 창을 통해 추가적인 동의를 얻어 프로그램을 설치할 가능성이 높습니다.

그러므로 해당 프로그램을 삭제하기 위해서는 우선적으로 Windows 작업 관리자에서 Searchhost.exe 프로세스를 수동으로 종료하시기 바랍니다.

그 후 제어판에서 프로그램이 제공하는 [Searchhost] 삭제 항목을 이용하여 삭제할 수 있는데, 문제는 프로그램 삭제 이후에 다음과 같은 문제가 발생합니다.

프로그램 삭제시 시작 프로그램에 등록된 SearchhostUpdate.exe 파일 및 시작 프로그램 관련 레지스트리 값을 삭제하지 않고 그대로 유지를 하고 있습니다.

이로 인하여 사용자는 자신도 모르게 시스템 시작시마다 SearchhostUpdate.exe 파일이 특정 서버에 접속하여 버전 체크 및 추가적인 번들 프로그램 존재 여부를 체크하는 동작이 이루어지는 동작이 발생합니다.

현재 테스트 과정에서는 추가적인 프로그램 다운로드 동작이 없지만 차후 프로그램 배포자(제작자)의 의도에 따라 사용자 몰래 프로그램이 설치될 가능성이 존재합니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\searchhost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\searchhost_setup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - searchhost = C:\Program Files\Searchhost\Searchhost.exe run
 - searchhostupdate = C:\Program Files\Searchhost\SearchhostUpdate.exe run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchhost
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
 - C:\Program Files\Searchhost\Searchhost.exe = C:\Program Files\Searchhost\Searchhost.exe:*:Enabled:Searchhost
 - C:\Program Files\Searchhost\SearchhostUpdate.exe = C:\Program Files\Searchhost\SearchhostUpdate.exe:*:Enabled:SearchhostUpdate


그러므로 Searchhost 프로그램을 삭제하실 때에는 제어판을 통한 프로그램 삭제 이외에 추가적으로 삭제되지 않은 다음의 폴더(파일)을 수동으로 삭제하시기 바라며, 생성 레지스트리 등록 정보를 참고하여 삭제되지 않은 값을 수동으로 삭제하시기 바랍니다.
  • C:\Program Files\Searchhost
  • C:\Program Files\Searchhost\SearchhostUpdate.exe
  • C:\WINDOWS\system32\remover.exe

해당 프로그램은 마치 Windows 운영 체제에서 제공하는 SearchProtocolHost.exe(Microsoft Windows Search Protocol Host) 프로세스로 착각할 수 있으므로 혼동하지 않도록 주의하시기 바랍니다.

728x90
반응형
  • 감사합니다 2011.12.06 17:57 댓글주소 수정/삭제 댓글쓰기

    이프로그램때문에 곰tv다운로드매니저가 설치하고나서 실행이되지않더라구요. ㄷㄷ

  • 감사 2011.12.06 22:37 댓글주소 수정/삭제 댓글쓰기

    저도 어떤 프로그램 하나 지우면서 이것도 깔려있는걸 알게되었는데 ㅜㅜ 지우기 굉장히 어려워서 찾다가 도움받았어요 ^^ 근데 마지막에 써놓으신
    C:\Program Files\Searchhost
    C:\Program Files\Searchhost\SearchhostUpdate.exe
    C:\WINDOWS\system32\remover.exe
    이 파일들도 다 없애야 되는거 맞죠? 방금 remover.exe 까지 없애고 왔는데.. 잘한거 맞나 해서요 ^^;; 아님 큰일인데 ;; ㅋㅋ

  • 감사합니당 2011.12.20 23:30 댓글주소 수정/삭제 댓글쓰기

    얼마전부터 컴을 부팅할때마다 'bkeeper.dll이 없어서 응용프로그램을 실행할수 없습니다'라고 떠서 궁금했었는데 좋은 정보 정말 잘 얻어갑니다..^^

    • 오류가 있었거나 백신에서 일부 파일을 잡아서 파일이 삭제되었던 모양입니다.

      프로그램 자체를 삭제하시기 바랍니다. 감사합니다.^^

  • 일본어로 아리가또라고하지요 2012.01.06 09:55 댓글주소 수정/삭제 댓글쓰기

    이렇게 친절하고 알기 쉽게 써주셔서 감사합니다 ^^

  • 감사합니다 2012.01.07 16:05 댓글주소 수정/삭제 댓글쓰기

    삭제할때는 그 폴더나 파일 쉬프트 딜리트 하면되는건가요? ㅋㅋㅋ
    완전 컴터 관리 못하는데 자꾸 다운받은 사이트 떠서.. 컴퓨터 돌아다니다가
    이 searchhost 지워야겠다 싶어서 지우고 검색해봤는데 더 많이 지워야하더군요 ㅋㅋㅋ 감사합니다 ㅋㅋㅋ

  • 감사합니다 2012.03.11 16:54 댓글주소 수정/삭제 댓글쓰기

    저희형이 루팅을 한다고 이것저것 다 깔아놔서 느려졌는데 덕분에 좋은 정보 얻어가요 ■C:\Program Files\Searchhost\SearchhostUpdate.exe
    전 이것밖에 없더라고요 정말 감사합니다 좋은하루 돼세요 ^^ 자주들려 좋은정보 얻어갑니다.

  • 감사 감사 2012.04.12 04:51 댓글주소 수정/삭제 댓글쓰기

    윈도우 정품 패치 크랙 찾아다니다가 악의적인 블로거에 의해 서치호스트 프로그램 자동 설치 되어서 이거 보고 프로그램 삭제 했네요. 감사합니다.