본문 바로가기

벌새::Analysis

검색 도우미 : XocureWeb Control HiSearch

인터넷 검색 과정에서 백그라운드 방식으로 후팝업 광고창을 생성하는 검색 도우미 "XocureWeb Control HiSearch" 프로그램(MD5 : 157499753ce8ceb1fb2a87e349ccc876)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Advenced Top C Manager (2012.3.15)

 

  국내 악성코드 : Smart Connection tc services (2012.9.15)

 

  검색 도우미 : SocureWeb Control (2012.11.28)

 

해당 프로그램은 기존의 탑클릭(TopClick), 워핑(WerPing) 시리즈 검색 도우미 프로그램과 연관성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\HiSearch
C:\Program Files\HiSearch\HSHelper.dll :: BHO 등록 파일
C:\Program Files\HiSearch\hsse.dat
C:\Program Files\HiSearch\HSSearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\HiSearch\HSSvcApp.exe :: 메모리 상주 프로세스(Internet Explorer 웹 브라우저 연동)
C:\Program Files\HiSearch\HSSvcApp.tlb
C:\Program Files\HiSearch\HSUninst.exe :: 프로그램 삭제 파일
C:\Program Files\HiSearch\hswhk.dll

 

해당 프로그램은 "C:\Program Files\HiSearch" 폴더에 파일을 생성하며, Windows 시작시 HSSearch.exe 파일을 시작 프로그램으로 등록하여 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행하여 인터넷 검색 활동을 시작할 때 "C:\Program Files\HiSearch\HSSvcApp.exe" 파일을 실행하여 추가적으로 동작이 이루어집니다.

실행된 HSSvcApp.exe 파일은 기본적으로 사용자가 인터넷 검색 키워드 값을 입력할 경우, 사용자 Mac Address, 파트너 아이디(ID), 검색 키워드, 연결된 URL 주소를 수집하여 특정 서버에 GET 방식으로 전송합니다.

실제적인 광고 동작은 사용자가 인터넷 검색을 통해 검색 결과 사이트에 접속할 경우 백그라운드 방식으로 추가적인 웹 사이트를 로딩한 후, 사용자가 해당 검색 결과창을 종료할 경우 후팝업 방식으로 광고창을 생성합니다.

 

그 외에도 인터넷 검색 과정 중 동일한 방식으로 웹 사이트 로딩을 통해 웹 브라우저를 종료하는 시점에서 광고창을 생성할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : HSAdvCtrl Class

게시자 : ArthanSoft

유형 : 브라우저 도우미 개체

CLSID : {A433374B-2F44-402B-AB7E-E58B4A09DF8A}

파일 : C:\Program Files\HiSearch\HSHelper.dll

 

해당 프로그램은 Internet Explorer 웹 브라우저 실행시 HSHelper.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 HSSvcApp.exe 파일 실행 및 광고 동작이 이루어지도록 제작되어 있습니다.

 

그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "HSAdvCtrl Class" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

또한 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 HSSearch.exe, HSSvcApp.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "XocureWeb Control HiSearch" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\HiSearch
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - HiSch = C:\Program Files\HiSearch\HSSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{95A6E518-3E4D-4AE2-B355-8E1FCB23DF31}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\HSHelper.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{431B1639-4BC8-43EC-A7C9-0D87F0D1EC09}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D247E3A-D856-4273-A322-C33920214FC3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9EAED39B-0432-4D87-B11C-6B55A074EF70}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A433374B-2F44-402B-AB7E-E58B4A09DF8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSHelper.HSAdvCtrl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSHelper.HSAdvCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSExtDisp
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSExtDisp.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSUIHandler
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HSUIHandler.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HiSReceiver
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HSSvcApp.HiSReceiver.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{15F71188-91EB-426F-81D4-B114B6F12B6C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A0E76CA4-2C76-4B2F-AE73-4FBE2A303B74}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{CA714479-D4E3-4687-95DF-C75EC72398F6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{DAC183E7-3A88-4C57-A5A0-0950B0490D6D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{12C4DB6A-9743-49B3-975B-26808B70A4E9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{2B7A6F7B-9B9A-40F9-8661-F418404BEF4B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{393E2049-E8AC-4814-BCDC-6A7AF57DC50C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A433374B-2F44-402B-AB7E-E58B4A09DF8A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adv HiSearch

 

"XocureWeb Control HiSearch" 프로그램의 이름 자체가 금융권 보안 솔루션 "XecureWeb Control"과 유사하여 사용자들에게 혼동을 유발하고 있으며, 인터넷 검색 과정에서 원치 않는 웹 사이트 로딩으로 속도 저하 및 광고창 생성이 이루어지므로 주의하시기 바랍니다.

  • 실력이 좋으시네요 ^^ 잘보고갑니다.

  • 잘 읽었습니다^^

  • 아마 이거 만든사람도 xecureweb control 이 보안 AX로 착각하게하려고 이름을 저딴식으로 지은거 같네요.ㄷㄷ e에서 o 로 ㅋㅋ

  • BeautifulDays 2013.02.08 10:57 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 갑자기 오늘 광고 팝업창이 뜨길래 당황했었는데 덕분에 해결했어요.

  • ㅇㅇ 2013.03.20 00:20 댓글주소 수정/삭제 댓글쓰기

    감사합니다. 며칠에 한번씩 깔리는 것같은데 아이들 게임할때 하는 창에 깔리는건지, 이거를 아예설치못하게 막는 법은 없나요? 도대체 어디서 깔리는지라도 알면 다행일텐데

    • 이런 프로그램을 설치하게 만드는 프로그램(파일)이 다양하게 있을 수 있습니다.

      사용자 부주의로 매번 설치될 수도 있고 사용자 몰래 설치하는 악성 파일이 존재할 수도 있습니다.

      그런 파일을 찾는 방법은 보안 제품으로 정밀 검사를 하시거나 제어판 및 프로그램 폴더 등을 직접 뒤져서 수상한 프로그램을 제거해야 합니다.ㅠㅠ

      개인적으로 추천해 드릴 보안 제품은 avast! 무료 백신(http://www.avast.com)의 PUP 진단을 켜시고 검사하시거나 AhnLab Next V3 Beta 버전(http://www.ahnlab.com/kr/site/event/event/v325thEventForm.do)을 설치하시고 PUP 진단을 켜시고 검사해 보시기 바랍니다.