인터넷 검색시 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)으로 연결을 시도하는 검색 도우미 "Micro ScanPlan" 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : 8f7b84c7159feedbc6ade0567d41c299)에 대하여 Hauri ViRobot 보안 제품에서는 Dropper.Agent.913408 (VirusTotal : 11/42) 진단명으로 진단되고 있습니다.
▷ <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종
▷ 검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)
▷ 국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)
▷ 검색 도우미 : Quicknsearch 1.00 (2012.3.30)
▷ 국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)
▷ [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)
▷ 검색 도우미 : qplansonic 1.00 (2012.5.7)
▷ 검색 도우미 : mplansonic 1.00 (2012.5.10)
▷ 검색 도우미 : msncptool 1.00 (2012.5.26)
해당 프로그램은 유사한 기능을 가진 다양한 이름의 변형된 프로그램이 예전부터 발견되고 있으므로 참고하시기 바랍니다.
C:\Program Files\splansonic
C:\Program Files\splansonic\splansonic.dll :: BHO 등록 파일
C:\Program Files\splansonic\splansonicdl.exe
C:\Program Files\splansonic\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\splansonic\Uninstall.ini
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\splansonicinst.exe :: 자가 삭제(Internet Explorer 웹 브라우저 실행시)
C:\WINDOWS\system32\VB6KO.DLL
해당 프로그램은 "C:\Program Files\splansonic" 폴더에 파일을 생성하며, 프로그램 설치 후 최초 Internet Explorer 웹 브라우저 실행시 특정 서버에 연결되어 추가적인 다운로드 체크 및 광고 구성 정보를 받아오는 동작을 확인할 수 있습니다.
기본적인 광고 동작은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우, 해당 검색 키워드 값을 참조한 DreamX 열린 주소창 검색(dreamx.dns3.paran.com) 결과창으로 연결이 이루어집니다.
또한 포털 사이트(예, 네이버(Naver))에서 인터넷 검색(①)을 시도할 경우 백그라운드 검색(②) 동작이 발생하는 것을 확인할 수 있습니다.
백그라운드 검색(②)을 통해 연결되는 정보를 확인해보면 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)으로 연결되는 것을 확인할 수 있으며, 이로 인하여 인터넷 검색시 웹 브라우저 창이 깜빡이는 등의 증상으로 불필요한 트래픽이 유발됩니다.
이름 : splansonicprg.splansonic
게시자 : splansonic
유형 : 브라우저 도우미 개체
CLSID : {9331EBF4-C21C-41CA-9610-C7158689367F}
파일 : C:\Program Files\splansonic\splansonic.dll
해당 프로그램은 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스에 splansonic.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 키워드 값을 참조하여 DreamX 열린 주소창 검색(dreamx.dns3.paran.com)이 이루어지도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "splansonicprg.splansonic" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Micro ScanPlan" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.
- C:\Program Files\splansonic
- C:\Program Files\splansonic\splansonic.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9331EBF4-C21C-41CA-9610-C7158689367F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5502E2B9-2205-40A5-B87B-FD9252FD4B04}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\splansonicprg.splansonic
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{5B916DDB-0A9E-438A-87D7-56594D1445B4}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
- splansonic = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9331EBF4-C21C-41CA-9610-C7158689367F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Micro ScanPlan
HKEY_LOCAL_MACHINE\SOFTWARE\splansonic
해당 프로그램은 프로그램 설치 폴더명과 프로그램 이름이 서로 달라 삭제에 어려움이 예상되며, 인터넷 검색 과정에서 원치 않는 백그라운드 연결 동작으로 속도 저하 등의 문제가 있을 수 있으므로 주의하시기 바랍니다.