울지않는벌새 : Security, Movie & Society

검색 도우미 : searchup

벌새::Analysis

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "searchup" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\sup.exe
C:\Program Files\searchup
C:\Program Files\searchup\su
C:\Program Files\searchup\su_.exe :: 메모리 상주 프로세스
C:\Program Files\searchup\su.dat
C:\Program Files\searchup\sud.dat
C:\Program Files\searchup\sufiles.dat
C:\Program Files\searchup\sup.exe :: 시작 프로그램(Run) 등록 파일
C:\Program Files\searchup\supMon.exe :: 시작 프로그램(RunOnce) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\searchup\suq.dat

해당 프로그램은 Windows 시작시 "C:\Program Files\searchup\sup.exe" 파일을 시작 프로그램(Run)으로 등록하여 업데이트 체크를 하도록 구성되어 있으며, 추가적으로 "C:\Program Files\searchup\supMon.exe" 파일을 시작 프로그램(RunOnce)으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 supMon.exe 파일은 광고 기능을 수행하며, 추가적으로 "C:\Program Files\searchup\su_.exe" 파일을 불러와 프로세스 및 레지스트리 자가 보호 기능을 수행합니다.

 

이는 사용자가 supMon.exe, su_.exe 프로세스를 임의로 종료할 경우 자동으로 복구되도록 하여, 일부 최적화 프로그램을 통해 프로세스가 임의로 종료되지 않도록 하고 있습니다. 

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 추가적인 광고창 생성 동작을 통해 수익을 창출하는 것을 확인할 수 있습니다. 

프로세스 자가 보호 기능으로 종료되지 않는 프로세스를 종료하기 위해서는 Windows 작업 관리자를 실행하여 supMon.exe 프로세스를 선택하여 마우스 우클릭을 통해 "프로세스 트리 끝내기" 메뉴를 클릭하시면 정상적으로 종료됩니다. 

프로그램 삭제는 제어판의 "searchup" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\sup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - WinVer = (사용자 OS 종류)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - searchup = "C:\Program Files\searchup\sup.exe" UPDATE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - supMon = "C:\Program Files\searchup\supMon.exe" AXX
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchup
HKEY_LOCAL_MACHINE\SOFTWARE\searchup

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 사용자가 프로세스 종료 등 프로그램 동작에 영향을 미치는 행위에 대한 방어 기능이 존재하므로 주의하시기 바랍니다.