본문 바로가기

벌새::Analysis

검색 도우미 : Keyword Search (version 1.0.2.2)

인터넷 검색시 웹 브라우저 하단에 "Torang" 광고바를 생성하는 검색 도우미 "Keyword Search (version 1.0.2.2)" 프로그램에 대해 살펴보도록 하겠습니다.

  검색 도우미 : Keyword Search (version 1.0.0.2) (2010.6.25)

  검색 도우미 : Keyword Search (version 1.0.0.7) (2011.6.10)

해당 프로그램은 기존부터 Keyword Search 버전별로 다양한 형태로 설치가 이루어지고 있으므로 참고하시기 바랍니다.

우선 설치 과정을 살펴보면 Keyword Search 설치 파일(MD5 : 6d8077794051b874ee80475e6f8b1158)을 이용하여 "C:\Program Files\Keyword Search" 폴더에 다음과 같은 파일을 다운로드 및 생성합니다.

  h**p://down.torang****.com/down/1.0.2.2/torangcomz.dll
  ▶ h**p://down.torang****.com/down/1.0.0.1/ksagent.exe
  ▶ h**p://down.kwd**.com/kso1/setup.exe (MD5 : fb9b90d7227c48068dc368f470939ae5)

그 과정에서 추가적으로 setup.exe 파일 다운로드를 통해 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(임의의 영문+숫자).tmp\setup_kso1.exe" 파일을 생성하여 추가적으로 keywordso.dll, keywordso_uninstall.exe 2개의 파일을 생성하도록 구성되어 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(임의의 영문+숫자).tmp\setup_kso1.exe
C:\Documents and Settings\(사용자 계정)\torangcomz_query_list.txt
C:\Program Files\Keyword Search
C:\Program Files\Keyword Search\keywordso_uninstall.exe
C:\Program Files\Keyword Search\keywordso.dll :: BHO 등록 파일
C:\Program Files\Keyword Search\ksagent.exe :: 시작 프로그램 등록 파일
C:\Program Files\Keyword Search\torangcomz.dll :: BHO 등록 파일
C:\Program Files\Keyword Search\uninstall.exe :: 프로그램 삭제 파일

해당 프로그램은 Windows 시작시 ksagent.exe 파일을 "KeywordSearchUpdater", "ksagent" 2개의 시작 프로그램 항목으로 등록하여 자동 실행되어 업데이트 체크를 하도록 구성되어 있습니다.

프로그램은 인터넷 검색을 통해 웹 사이트를 오픈할 경우 웹 브라우저 하단에 "Torang"이라는 이름의 광고바를 생성하도록 구성되어 있는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : Keyword Search
게시자 : torangcommunications
유형 : 브라우저 도우미 개체
CLSID : {31A0D938-3055-46BA-8919-59E44E0D7E51}
파일 : C:\Program Files\Keyword Search\torangcomz.dll

이름 : TorangBand Class
게시자 : torangcommunications
유형 : 탐색창
CLSID : {E5C7860B-FC70-4634-ACAB-C70DF2F5292A}
파일 : C:\Program Files\Keyword Search\torangcomz.dll

이름 : keywordso
유형 : 브라우저 도우미 개체
CLSID : {CC01FC6C-B7EF-445C-8909-0D85C70FD72A}
파일 : c:\Program Files\Keyword Search\keywordso.dll

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 torangcomz.dll, keywordso.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 감시를 통한 광고바를 생성하는 동작을 하도록 구성되어 있습니다.

그러므로 광고 동작의 중지를 위해서는 웹 브라우저 추가 기능 관리에 등록된 "Keyword Search, TorangBand Class, keywordso" 3개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Keyword Search" 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Keyword Search
HKEY_CURRENT_USER\Software\keywordso
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - KeywordSearchUpdater = C:\Program Files\Keyword Search\ksagent.exe
 - ksagent = C:\Program Files\Keyword Search\ksagent.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{610EBFCC-8014-4224-8789-FA7E8E705569}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\torangcomz.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{31A0D938-3055-46BA-8919-59E44E0D7E51}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC01FC6C-B7EF-445C-8909-0D85C70FD72A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E5C7860B-FC70-4634-ACAB-C70DF2F5292A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{56629120-4142-4A6F-8477-D0BB63F64838}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F40A6CB2-4096-4343-BB1E-5AC8763338FA}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5AA0041F-B508-4A51-85C7-B59FBCA8C750}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\keywordso.keywordso
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.TorangBand
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.TorangBand.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.torangcomz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\torangcomz.torangcomz.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{31A0D938-3055-46BA-8919-59E44E0D7E51}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{CC01FC6C-B7EF-445C-8909-0D85C70FD72A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Keyword Search

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 검색시 원치 않는 광고바 생성으로 불편이 예상되므로 주의하시기 바랍니다.