본문 바로가기

벌새::Analysis

[삭제] MediSearch 1.00

국내에서 제작되어 인터넷 쇼핑몰 이용 과정에서 사용자 몰래 광고 코드가 추가되며 삭제 기능을 제공하지 않는 MediSearch 1.00 프로그램에 대해 살펴보도록 하겠습니다.

  국내 악성코드 : wfindsearchc 1.00 (2011.7.21)

해당 프로그램은 기존의 wfindsearchc 1.00 악성 프로그램과 유사성이 있으므로 참고하시기 바랍니다.

또한 프로그램의 설치 파일(MD5 : 4c7194948ddfd1175568d361d843717a)에 대하여 AhnLab V3 보안 제품에서는 Win-Adware/MediSearch.836003 (VirusTotal : 24/43) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Program Files\medisearch
C:\Program Files\medisearch\medisearch.dll :: BHO 등록 파일
C:\Program Files\medisearch\medisearchdel.exe

C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램은 "C:\Program Files\medisearch" 폴더에 파일을 생성하며, 제어판에 프로그램 삭제 항목을 등록하지 않는 상태로 설치가 이루어집니다.

 

 

생성된 폴더 내의 medisearchdel.exe 파일을 수동으로 실행하면 프로그램이 삭제되었다는 메시지가 나오지만, 실제 파일 삭제 기능이 존재하지 않는 것으로 확인되고 있습니다.

 

 

프로그램의 동작 방식은 사용자가 특정 온라인 쇼핑몰에 접속하여 이용하는 과정에서 사용자 몰래 광고 코드(cl.ilikeclick.com)를 추가하여 금전적 수익을 유발하도록 구성되어 있습니다.

 

medisearch.dll

 

medisearch.dll 파일 스트링 정보를 확인해보면 G마켓, 옥션, 11번가를 비롯한 다수의 온라인 쇼핑몰과 관련된 광고 코드가 포함되어 있는 것을 확인할 수 있습니다.

그러므로 해당 프로그램이 설치된 경우 삭제를 위해서는 다음과 같은 절차에 따라 진행하시기 바랍니다.(※ 삭제시에는 모든 프로그램을 종료한 상태에서 진행하시기 바랍니다.)

(1) Internet Explorer 웹 브라우저를 실행하여 "도구 → 추가 기능 관리" 메뉴를 실행합니다.

 

 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : medisearchprg.medisearch
게시자 : XP PLUS
유형 : 브라우저 도우미 개체
CLSID : {894B3EDB-B53D-40CF-8B17-106B8547A84A}
파일 : C:\Program Files\medisearch\medisearch.dll

생성된 "추가 기능 관리" 창에서 "medisearchprg.medisearch" 항목을 선택하여 "사용 안 함"으로 변경하신 후, 반드시 웹 브라우저를 종료하시기 바랍니다.

(2) 윈도우 탐색기를 통해 다음의 폴더와 파일을 수동으로 삭제하시기 바랍니다.
 
  • C:\Program Files\medisearch
  • C:\Program Files\medisearch\medisearch.dll
  • C:\Program Files\medisearch\medisearchdel.exe

(3) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{894B3EDB-B53D-40CF-8B17-106B8547A84A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CF6E94FF-11E1-455B-88C1-58E56F551494}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\medisearchprg.medisearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8CEAC91F-D980-4CFB-9E2D-552E3264E6EF}
HKEY_LOCAL_MACHINE\SOFTWARE\medisearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{894B3EDB-B53D-40CF-8B17-106B8547A84A}


해당 프로그램은 삭제 기능이 없는 관계로 지속적으로 인터넷 쇼핑몰을 이용하는 과정에서 프로그램 제작자(배포자)에게 금전적 수익을 제공해 줄 수 있으므로 주의하시기 바랍니다.

  • chriscrazy 2012.03.16 20:08 댓글주소 수정/삭제 댓글쓰기

    레지편집기 들어가서 모르고 classes 폴더자체를 삭제해버렷더니
    컴터 아무것도 클릭하면 실행이안되네요 복구 어떻게 해야되죠 ㅜㅜ?

    • 레지스트리는 백업을 하지 않은 상태에서 삭제를 할 경우 복구가 불가능하므로 시스템 복원 기능으로 복원을 하는 방법 외에는 방법이 없습니다.

  • 박진우 2012.05.04 19:42 댓글주소 수정/삭제 댓글쓰기

    자꾸 이게 귀찮게 해서 검색해봤는데, 정말 좋은 포스트였습니다. 감사합니다!

  • byoul 2012.05.05 10:22 댓글주소 수정/삭제 댓글쓰기

    몇일 전부터 내 컴퓨터만 누르면 자꾸 저 폴더에서 뭐가 나왔다고 뜨길래 포스팅 하신대로 레지스트리 삭제는 다 했는데 폴더 삭제가 자꾸 권한이 없다며 안된다네요..ㅠㅠ 이건 어떻게 해야 하나요? 좋은 포스트 잘 보고 갑니다!

    • 파일 삭제에서는 medisearch.dll 파일이 IE 웹 브라우저와 연동이 되므로 삭제시 반드시 웹 브라우저를 모두 종료하시고 삭제해 보시기 바랍니다.

      그래도 안되시면 안전모드에서 삭제해 보시기 바랍니다.