울지않는벌새 : Security, Movie & Society

검색 도우미 : Windows Search Pack

벌새::Analysis

Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드 값을 입력시 자동으로 연결해주는 기능을 가진 것으로 소개된 "Windows Search Pack" 검색 도우미 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 938acef5e89513199720cdcc029bffc6)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.1253168 (VirusTotal : 9/41) 진단명으로 진단되고 있습니다.

 

  검색 도우미 : Windows Assist Service (2012.6.18)

 

  검색 도우미 : Windows Key Pack (2012.6.23)

 

  검색 도우미 : Windows Key Manager (2012.8.5)

 

참고로 시스템 시작시 업데이트 기능을 통해 "정규 업데이트 알림"창을 생성하는 유사한 기능을 가진 다양한 프로그램이 존재하므로 참고하시기 바랍니다. 

프로그램 설치 과정에서 사용자 Mac Address 및 운영 체제(OS) 종류를 체크하며, 이는 Windows XP와 Windows 7 운영 체제에서 시스템 시작시 자동 실행되는 부분에 변화가 있음을 확인할 수 있습니다.(※ 해당 게시글에서는 Windows XP 운영 체제를 기준으로 작성되었으며, Windows 7 운영 체제에서 변경된 부분만 살펴보도록 하겠습니다.)

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Windows Search Pack
C:\Program Files\Windows Search Pack\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Windows Search Pack\winspkc.dll :: BHO 등록 파일
C:\Program Files\Windows Search Pack\winspku.exe
C:\Program Files\Windows Search Pack\winspkv.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스

 

※ Windows 7 운영 체제에서는 winspkv.exe 파일은 "winspksvc(Windows Search Pack)" 서비스 등록 파일입니다.

 

[생성 파일 진단 정보]

 

C:\Program Files\Windows Search Pack\winspkc.dll
 - MD5 : a4b888c2137b963e82fbfa5c5ada768b
 - AhnLab V3 : Win-PUP/Helper.WinSP.157904 (VirusTotal : 1/41)

 

C:\Program Files\Windows Search Pack\winspku.exe
 - MD5 : 3f41e01bf4b065b6af5fa56ddbfb251c
 - AhnLab V3 : Win-PUP/Helper.WinSP.1795792 (VirusTotal : 2/41)

 

C:\Program Files\Windows Search Pack\winspkv.exe
 - MD5 : 96e30d289fea3c08938e727a17f741e3
 - AhnLab V3 : Win-PUP/Helper.WinSP.120528 (VirusTotal : 8/41)

 

Windows XP 운영 체제에서는 Windows 시작시 winspkv.exe 파일을 시작 프로그램(Run)으로 등록하여 자동 실행되며, 실행된 파일은 업데이트 체크를 통한 메모리에 상주하도록 제작되어 있습니다. 

Windows 7 운영 체제에서는 "winspksvc(Windows Search Pack)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\Windows Search Pack\winspkv.exe /service" 파일을 자동으로 실행하여, 업데이트 체크를 통한 메모리에 상주하도록 구성되어 있습니다.

 

이런 과정 중에서 자동 실행된 winspkv.exe 파일은 "C:\Program Files\Windows Search Pack\winspku.exe" 파일을 추가적으로 실행하여, 특정 시점에서 "정규 업데이트 알림"창을 생성하여 제휴(스폰서) 프로그램의 설치를 유도할 수 있습니다. 

"Windows Search Pack" 프로그램은 브라우저 도우미 개체(BHO)와 "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks" 레지스트리 값 등의 등록을 통해, 사용자가 Internet Explorer 웹 브라우저를 이용하는 과정에서 광고 동작을 할 것으로 추정되지만 확인되는 외형적 동작은 발견되지 않고 있습니다. 

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : Windows Search Pack

게시자 : Now Media Corp.

유형 : 브라우저 도우미 개체

CLSID : {85357DBA-EEFD-48F6-821C-A8F4B076A9B3}

파일 : C:\Program Files\Windows Search Pack\winspkc.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winspkc.dll 파일을 브라우저 도우미 개체(BHO)로 추가하여 동작하도록 제작되어 있습니다.

 

그러므로 해당 파일의 추가적인 동작을 중지하기 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "Windows Search Pack" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다. 

프로그램은 시스템 시작시 winspkv.exe 프로세스를 메모리에 상주시키므로, 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 해당 프로세스를 찾아 수동으로 종료하시기 바랍니다. 

프로그램 삭제는 제어판의 "Windows Search Pack" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
 - {BDF84A77-EB19-48A2-9D7C-DD21482431E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{47B82A42-2932-4973-A399-6760EF8A4BB4}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\winspkc.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85357DBA-EEFD-48F6-821C-A8F4B076A9B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BDF84A77-EB19-48A2-9D7C-DD21482431E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{24CB44EB-4900-4B1C-B00E-05CEE65C84A5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BD6F2819-421B-402F-BA42-D18308AE4B7B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{07B92B5E-5023-4932-88CD-E0B2A4579227}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winspkc.WspkGulf
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winspkc.WspkGulf.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winspkc.WspkUrlSrchHK
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winspkc.WspkUrlSrchHK.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
 - wspkv = inst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{85357DBA-EEFD-48F6-821C-A8F4B076A9B3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - winspkv = C:\Program Files\Windows Search Pack\winspkv.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Windows Search Pack
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Search Pack

 

※ Windows 7 운영 체제에서는 시작 프로그램(Run) 대신 winspksvc 서비스 값을 등록합니다.

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\winspksvc

 

해당 프로그램은 배포자의 의도에 따라 차후 시스템 시작 과정에서 "정규 업데이트 알림"창을 생성하여 추가적인 제휴(스폰서) 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.