본문 바로가기

벌새::Analysis

검색 도우미 : isearchplus 1.00

728x90
반응형
인터넷 검색시 파란(Paran) 열린 주소창 검색(dns3.paran.com) 결과창이 추가로 생성되는 검색 도우미 isearchplus 1.00 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 확인된 정보에 따르면 특정 광고 프로그램이 설치된 환경에서 사용자 몰래 추가적으로 다운로드되어 설치될 가능성이 있으며, isearchplus 1.00 프로그램의 설치 파일(MD5 : 2803d757ad879cc68b3c180d1f6204ac)에 대하여 nProtect 보안 제품에서는 Trojan/W32.Agent.970752.CM (VirusTotal : 23/40) 진단명으로 진단되고 있습니다.

해당 프로그램은 기존에 파란(Paran) 열린 주소창 검색을 생성하는 다수의 유사한 프로그램이 존재하였으므로 참고하시기 바랍니다.


[생성 폴더 / 파일 등록 정보]

C:\Program Files\isearchplus
C:\Program Files\isearchplus\isearchf.txt
C:\Program Files\isearchplus\isearchplus.dll :: BHO 등록 파일
C:\Program Files\isearchplus\isearchplus.exe :: 메모리 상주 프로세스
C:\Program Files\isearchplus\isearchpluscc.dll :: BHO 등록 파일
C:\Program Files\isearchplus\isearchplusun.exe
C:\Program Files\isearchplus\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\isearchplus\Uninstall.ini
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\isearchplusccinst.exe :: isearchplus 1.00 프로그램 설치 파일 / 자가 삭제
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
[생성 파일 진단 정보]

C:\Program Files\isearchplus\isearchplus.dll
 - MD5 : 79b6c7f3f9b094529bb7671e63c01d32
 - AhnLab V3 : Win-PUP/Helper.ISearchPlus.90112 (VirusTotal : 15/43)

C:\Program Files\isearchplus\isearchplus.exe
 - MD5 : 87e0deea6e977f957997832c530d3066
 - AhnLab V3 : Win-PUP/Helper.ISearchPlus.118784 (VirusTotal : 14/43)

C:\Program Files\isearchplus\isearchpluscc.dll
 - MD5 : 840f3b100594e3164232e02925524108
 - AhnLab V3 : Win-PUP/Helper.ISearchPlus.98304 (VirusTotal : 18/43)

C:\Program Files\isearchplus\isearchplusun.exe
 - MD5 : 0c13970e01e85912c6f5755eff52094e
 - AhnLab V3 : Win-PUP/Helper.ISearchPlus.77824 (VirusTotal : 2/43)

C:\Program Files\isearchplus\Uninstall.exe
 - MD5 : 7245c7fc29febda56934d53bb88aa596
 - AhnLab V3 : Win-PUP/Helper.ISearchPlus.91692 (VirusTotal : 1/42)


해당 프로그램은 설치시 [C:\WINDOWS\system32\isearchplusccinst.exe] 파일을 생성하여 [C:\Program Files\isearchplus] 폴더에 프로그램을 설치하며, 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 isearchplusccinst.exe 파일은 자가 삭제되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행하면 iexplore.exe 프로세스 하위에 isearchplus.exe 프로세스가 생성되어 메모리에 상주하도록 구성되어 있습니다.(※ isearchplus.exe 프로세스는 Internet Explorer 웹 브라우저를 종료하여도 종료되지 않습니다.)

이런 상태에서 Internet Explorer 웹 브라우저의 주소 표시줄에 특정 검색어를 입력할 경우, 파란(Paran) 열린 주소창 검색(dns3.paran.com) 결과창이 생성되는 동작을 확인할 수 있습니다.

또한 포털 사이트를 이용한 인터넷 검색시에도 특정 검색어에 따라 파란(Paran) 열린 주소창 검색 결과가 생성되는 동작이 발생합니다.

프로세스를 통해 해당 광고 동작을 확인해보면 최초 Internet Explorer 웹 브라우저를 실행한 경우 iexplore.exe 프로세스에 isearchplus.exe 프로세스가 추가되며, 사용자가 인터넷 검색을 이용하는 과정에서 파란(Paran) 열린 주소창 검색 관련 iexplore.exe 프로세스가 생성되는 것을 확인할 수 있습니다.

참고로 Internet Explorer 웹 브라우저를 종료한 후에도 파란(Paran) 열린 주소창 검색 결과와 관련된 일부 iexplore.exe 프로세스가 종료되지 않는 문제가 확인되고 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : isearchplusprg.isearchpluscc
게시자 : XP PLUS
유형 : 브라우저 도우미 개체
CLSID : {0A20A4C9-017C-4B63-8DAC-29EB2DB8E019}
파일 : C:\Program Files\isearchplus\isearchpluscc.dll

이름 : searchadvancedplus.isearchplus
게시자 : 온라인정보센터
유형 : 브라우저 도우미 개체
CLSID : {A2DC0A03-36FE-436B-907F-AE9AD9E6F82C}
파일 : C:\Program Files\isearchplus\isearchplus.dll


해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 isearchplus.dll, isearchpluscc.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 검색 키워드 감시를 통한 파란(Paran) 열린 주소창 검색을 생성하고 있습니다.

그러므로 광고 동작의 중지를 위해서는 우선적으로 웹 브라우저의 추가 기능 관리에 등록된 "isearchplusprg.isearchpluscc, searchadvancedplus.isearchplus" 2개의 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

또한 Windows 작업 관리자에서 isearchplus.exe 프로세스를 수동으로 종료한 후, 만약 iexplore.exe 프로세스가 존재할 경우 함께 종료를 하시기 바랍니다.

프로그램 삭제는 프로세스 및 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 [isearchplus 1.00] 삭제 항목을 이용하여 삭제하실 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\isearchplus
  • C:\Program Files\isearchplus\isearchplus.dll
  • C:\Program Files\isearchplus\isearchpluscc.dll
[생성 레지스트리 등록 정보]

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0A20A4C9-017C-4B63-8DAC-29EB2DB8E019}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2DC0A03-36FE-436B-907F-AE9AD9E6F82C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{057DA791-8FB5-41F4-BA6D-1F076D94E51E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{42D4D9A2-9322-4508-AF74-F01A69D98663}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\isearchplusprg.isearchpluscc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchadvancedplus.isearchplus
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{374A5EE8-5C5C-47A6-ACF9-D5C960C00A6F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{930B040A-A06D-48EC-A18C-C858276C8FAE}
HKEY_LOCAL_MACHINE\SOFTWARE\isearchplus
HKEY_LOCAL_MACHINE\SOFTWARE\isearchpluscc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{0A20A4C9-017C-4B63-8DAC-29EB2DB8E019}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A2DC0A03-36FE-436B-907F-AE9AD9E6F82C}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
isearchplus 1.00


해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 이용시 원치 않는 추가적인 검색 결과가 노출되어 불편을 유발할 수 있으므로 주의하시기 바랍니다.

728x90
반응형