울지않는벌새 : Security, Movie & Society

검색 도우미 : Winsearch

벌새::Analysis

인터넷 검색시 "네이트 검색(search.nate.com)", "열린 주소창 검색(dns4.ktguide.com)"을 백그라운드 방식으로 시도하는 검색 도우미 Winsearch 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 8d3ce267f87b54e2f64afff683bc5499)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Winsearchocn.921480.A (VirusTotal : 23/45) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  검색 도우미 : Clicknsearch 1.00 - neopsearch (2012.2.23)

 

  국내 악성코드 : OpenSearch 1.00 - sjadsearch (2012.2.25)

 

  검색 도우미 : Quicknsearch 1.00 (2012.3.30)

 

  국내 악성코드 : mplantsearch 1.00 + quicktimesh (2012.4.10)

 

  [삭제] wmplanttool 1.00 - wmplantsearch (2012.5.7)

 

  검색 도우미 : qplansonic 1.00 (2012.5.7)

 

  검색 도우미 : mplansonic 1.00 (2012.5.10)

 

  검색 도우미 : msncptool 1.00 (2012.5.26)

 

  검색 도우미 : Micro ScanPlan (2012.6.2)

 

  검색 도우미 : PowerPlan (2012.6.7)

 

  검색 도우미 : WebPro Extension 1.00 (2012.6.8)

 

  검색 도우미 : splansonid (2012.6.24)

 

  검색 도우미 : Visio Media 1.00 (2012.7.18)

 

  국내 악성코드 : Shoptopbar 1.00 + Cleversearchoc 1.00 (2012.9.17)

 

  국내 악성코드 : topsearch (2012.10.17)

 

기존에 Winsearch 검색 도우미 프로그램과 유사한 기능을 하는 다수의 검색 도우미 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Winsearchocn
C:\Program Files\Winsearchocn\cleversearchocn.dll :: BHO(cleversearchocncfg.cleversearchocn) 등록 파일
C:\Program Files\Winsearchocn\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Winsearchocn\Uninstall.ini
C:\Program Files\Winsearchocn\winsearchocn.dll :: BHO(winsearchocnprg.winsearchocn) 등록 파일

C:\Program Files\Winsearchocn\winsearchocndl.exe
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL
C:\WINDOWS\system32\winsearchocninst.exe :: Internet Explorer 웹 브라우저 실행시 자가 삭제

설치 파일이 실행되면 "C:\WINDOWS\system32\winsearchocninst.exe" 파일(Winsearch 1.00 Installation)을 생성하여 "C:\Program Files\Winsearchocn" 폴더에 프로그램을 설치합니다.

그 후 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 winsearchocninst.exe 파일은 자가 삭제 처리가 이루어지며, 외부 연결을 통해 광고 구성값을 체크하도록 구성되어 있습니다.(※ 테스트 시점에서는 추가적인 다운로드 동작이 없지만, 배포자의 의도에 따라 사용자 동의없이 프로그램이 추가 설치될 수 있습니다.)

Winsearch 프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색 활동을 하는 과정에서 백그라운드 방식으로 추가적인 검색(search.nate.com / dns4.ktguide.com) 동작이 이루어지며, 이로 인하여 웹 브라우저 속도 저하 등의 문제가 발생할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchocnprg.winsearchocn

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {36DC5704-F5DE-4BE0-A997-804C2B1A2A84}

파일 : C:\Program Files\Winsearchocn\winsearchocn.dll

 

이름 : cleversearchocncfg.cleversearchocn

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {B2E915B8-ED76-42AC-BB40-6FC5D2ED072C}

파일 : C:\Program Files\Winsearchocn\cleversearchocn.dll

 

Winsearch 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 winsearchocn.dll, cleversearchocn.dll 2개의 모듈을 브라우저 도우미 개체(BHO)로 등록하여 백그라운드 방식으로 특정 검색 엔진을 이용한 검색 동작이 이루어집니다.

 

참고로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "winsearchocnprg.winsearchocn", "cleversearchocncfg.cleversearchocn" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

(1) cleversearchocn.dll 파일 기능

cleversearchocn.dll 파일의 광고 동작을 살펴보면 네이버(Naver) 검색 서비스를 이용하여 검색을 시도할 경우 백그라운드 방식으로 사용자 검색 키워드 값을 참조한 "네이트 검색(search.nate.com)"이 이루어지며, 추가적으로 프로그램에서 지정한 유사 검색 키워드 값을 통한 검색이 2중적으로 실행되는 것을 확인할 수 있습니다.

 

이런 백그라운드 검색 동작이 시각적으로는 네이트 검색(search.nate.com) 결과가 노출되지 않으므로 사용자는 인지하기 힘들지만, 이로 인하여 검색 속도 저하 등의 문제가 발생할 수 있습니다.

 

(2) winsearchocn.dll 파일 기능

winsearchocn.dll 파일의 광고 동작은 2가지 방식으로 이루어지며, 하나는 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 웹 브라우저 기본 검색(Bing 검색 : search.daum.net/bing)이 아닌 "열린 주소창 검색(dns4.ktguide.com)"으로 연결됩니다.

다른 광고 동작은 cleversearchocn.dll 파일과 마찬가지로 인터넷 검색시 사용자가 입력한 검색 키워드 값을 참조하여 백그라운드 방식으로 "열린 주소창 검색(dns4.ktguide.com)"이 이루어지는 동작을 확인할 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Winsearch" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Winsearchocn
  • C:\Program Files\Winsearchocn\cleversearchocn.dll
  • C:\Program Files\Winsearchocn\winsearchocn.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cleversearchocncfg.cleversearchocn
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{36DC5704-F5DE-4BE0-A997-804C2B1A2A84}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2E915B8-ED76-42AC-BB40-6FC5D2ED072C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3AD6C207-E2D9-4391-A48B-674A93319592}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{935E0048-9BA4-449D-8517-734FCEF7F565}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{61B5A29E-E019-4A9D-81AA-69E5004EA460}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B1D5D7E3-22A1-4A19-B9D7-3366ED72F6B5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchocnprg.winsearchocn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{36DC5704-F5DE-4BE0-A997-804C2B1A2A84}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{B2E915B8-ED76-42AC-BB40-6FC5D2ED072C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Winsearch

 

Winsearch 프로그램은 인터넷 검색시 속도 저하를 유발할 수 있으며, 차후 원치 않는 유사한 기능을 가진 또 다른 프로그램을 사용자 동의없이 설치할 가능성이 존재하므로 주의하시기 바랍니다.