국내에서 제작된 특정 검색 도우미 프로그램의 업데이트 기능을 통해 사용자 몰래 설치된 것으로 추정되는 bizsearch.exe 파일에 대해 살펴보도록 하겠습니다.


해당 파일은 드랍퍼(MD5 : b390337433a8eccbe855285a764bfe26) 파일을 통해 설치가 이루어지며, 해당 파일에 대하여 BitDefender 보안 제품에서는 Gen:Trojan.Downloader.qmGfay0oN0cI (VirusTotal : 12/42) 진단명으로 진단되고 있습니다.

GET /****/bizsearch.exe HTTP/1.1
Content-Type: text/html
Host: ****.smart-link.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)

해당 파일은 설치된 후 특정 광고 서버로부터 bizsearch.exe 파일을 다운로드하여 숨김(H) 속성값을 가지는 폴더 내부에 파일을 생성합니다.


[생성 파일 및 진단 정보]


C:\Documents and Settings\(사용자 계정)\Application Data\bizsearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
 - MD5 : 7ee882c26d8d343a7d53c20b10308fec
 - AhnLab V3 : Win-PUP/Helper.SmartLink.381952 (VirusTotal : 10/42)


[생성 레지스트리 등록 정보]


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - bizsearch = C:\Documents and Settings\(사용자 계정)\Application Data\bizsearch.exe
HKEY_CURRENT_USER\Software\bizsearch

해당 파일은 Windows 시작시 자동으로 실행되도록 시작 프로그램에 자신을 등록하며 외부와 연결되는 동작은 없습니다.

프로그램이 설치된 환경에서 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창이 생성되는 동작을 확인할 수 있습니다.


  제휴(스폰서) 프로그램 : 안전지대(Safe Terra) (2011.6.17)


  검색 도우미 : SafeGuide (2011.7.14)


  검색 도우미 : Window network SafeTerra + TSolution (2011.10.17)


  제휴(스폰서) 프로그램 : 그린오픈(GreenOpen) 2.0 (2012.2.27)


참고로 해당 파일은 기존의 안전지대(Safe Terra), SafeGuide, 그린오픈(GreenOpen) 프로그램과 유사성이 있으므로 참고하시기 바랍니다.


해당 프로그램으로 인해 사용자는 어떤 프로그램을 통해 광고창이 생성되는지 인지하기 어려우며, 삭제 기능을 제공하지 않으므로 다음과 같은 절차에 따라 문제를 해결하시기 바랍니다.


(1) Windows 작업 관리자에서 bizsearch.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.


(2) 윈도우 탐색기를 통해 "C:\Documents and Settings\(사용자 계정)\Application Data\bizsearch.exe" 파일을 찾아 삭제하시기 바랍니다.(※ 파일을 찾으실 때에는 폴더 옵션에서 "보기 숨김 파일 및 폴더 표시" 항목에 체크를 하시기 바랍니다.)


(3) 레지스트리 편집기(regedit)를 실행하여 생성 레지스트리 값 정보를 참고하여 등록값을 삭제하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..