본문 바로가기

벌새::Analysis

검색 도우미 : searchup

인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "searchup" 프로그램에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\sup.exe
C:\Program Files\searchup
C:\Program Files\searchup\su
C:\Program Files\searchup\su_.exe :: 메모리 상주 프로세스
C:\Program Files\searchup\su.dat
C:\Program Files\searchup\sud.dat
C:\Program Files\searchup\sufiles.dat
C:\Program Files\searchup\sup.exe :: 시작 프로그램(Run) 등록 파일
C:\Program Files\searchup\supMon.exe :: 시작 프로그램(RunOnce) 등록 파일 / 메모리 상주 프로세스
C:\Program Files\searchup\suq.dat

해당 프로그램은 Windows 시작시 "C:\Program Files\searchup\sup.exe" 파일을 시작 프로그램(Run)으로 등록하여 업데이트 체크를 하도록 구성되어 있으며, 추가적으로 "C:\Program Files\searchup\supMon.exe" 파일을 시작 프로그램(RunOnce)으로 등록하여 자동 실행되도록 구성되어 있습니다. 

자동 실행된 supMon.exe 파일은 광고 기능을 수행하며, 추가적으로 "C:\Program Files\searchup\su_.exe" 파일을 불러와 프로세스 및 레지스트리 자가 보호 기능을 수행합니다.

 

이는 사용자가 supMon.exe, su_.exe 프로세스를 임의로 종료할 경우 자동으로 복구되도록 하여, 일부 최적화 프로그램을 통해 프로세스가 임의로 종료되지 않도록 하고 있습니다. 

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 추가적인 광고창 생성 동작을 통해 수익을 창출하는 것을 확인할 수 있습니다. 

프로세스 자가 보호 기능으로 종료되지 않는 프로세스를 종료하기 위해서는 Windows 작업 관리자를 실행하여 supMon.exe 프로세스를 선택하여 마우스 우클릭을 통해 "프로세스 트리 끝내기" 메뉴를 클릭하시면 정상적으로 종료됩니다. 

프로그램 삭제는 제어판의 "searchup" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 "C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\sup.exe" 파일을 찾아 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows
 - SUp = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - WinVer = (사용자 OS 종류)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - searchup = "C:\Program Files\searchup\sup.exe" UPDATE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
 - supMon = "C:\Program Files\searchup\supMon.exe" AXX
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchup
HKEY_LOCAL_MACHINE\SOFTWARE\searchup

 

해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 사용자가 프로세스 종료 등 프로그램 동작에 영향을 미치는 행위에 대한 방어 기능이 존재하므로 주의하시기 바랍니다.

  • 비밀댓글입니다

  • ㅇㅇㅁ 2012.11.09 11:22 댓글주소 수정/삭제 댓글쓰기

    이런 개같은 프로그램이 깔려있었는데도 전 몰랐네요 ㅠㅠ

    좋은 정보 감사합니다

  • 님은bb 2013.02.19 21:12 댓글주소 수정/삭제 댓글쓰기

    정말 정말 감사해요 ...
    adv, hisearch, search up...
    딴건 다 자 지워지는데 써치업... 이건 제언판에서도 지우고 프로그램파일안에섣 없앴는데 계속 검색만 하면 뜨길래 왜그런가 했는데....
    저런곳에 숨어있다니...
    이런 프로그래만듬놈들..아...OOOO


    암튼 님 다시 한 번 정말 감사 해요

  • 2013.04.05 17:27 댓글주소 수정/삭제 댓글쓰기

    안지워지네요.
    프로세서 종료도 안되고 삭제도 안되요.
    레지스터리 지워도 아무 소용없어요,

    • 프로세스 종료하는 방법을 잘 읽어보시기 바랍니다. 그리고 프로그램이 일부 변경되었을 수도 있습니다.

      되도록 제어판을 통해 프로그램 삭제를 해보시기 바랍니다.

  • 망할 2013.05.16 16:47 댓글주소 수정/삭제 댓글쓰기

    search up 프로세스 트리 끄기 했는데 안꺼지네요 어캐 해야 하는건지?

    • 아마 프로그램이 변경된 것이 아닌가 싶습니다. 프로세스 종료가 원활하지 않다면 제어판을 통해 그대로 프로그램을 삭제해 보시기 바랍니다.

  • 안꺼질땐 2013.06.02 01:21 댓글주소 수정/삭제 댓글쓰기

    Kernel Mode에서 한 번에 두 프로세스를 꺼버리면 되더군요..
    User mode에서 안꺼지게 만들었다니..진짜 정신 나갔나봐요 -_-;

  • 우와 2013.07.13 12:43 댓글주소 수정/삭제 댓글쓰기

    덕분에 해결했어요ㅠㅠㅠ정말 감사합니다 프로세스 트리 끝내기라는걸로 하니 한방에 해결됐네요!

  • 삭제 2013.07.21 15:24 댓글주소 수정/삭제 댓글쓰기

    바로 위에 댓글 작성한 사람인데요~ 댓글이 보이질 않네요. 위에 댓글에 질문한 문제가 해결이 돼서, 댓글 삭제하려고 하는데 비번이 틀렸는지 삭제가 안 되네요ㅜㅜ 이 댓글 보시고 위에 댓글이랑 지금 이 댓글도 삭제해주세요~ 날씨가 더운데 몸 조심하시고, 수고하세요~^^

  • 좋은세상 2013.10.31 12:59 댓글주소 수정/삭제 댓글쓰기

    대박대박 대박사건...정말 감사합니다.
    제어판에서도 안 지워지던 써치업이 님께서 올려주신 대로 레지스트리 안에서 지워봤는데
    이미 제에판에서 사라져 있더군요. 다시한번 감사의 인사 드립니다. ^^