본문 바로가기

벌새::Analysis

검색 도우미 : Windows adhelp package

반응형

인터넷 검색시 특정 키워드 값에 따라 광고창이 생성되는 검색 도우미 "Windows adhelp package" 프로그램에 대해 살펴보도록 하겠습니다.

출처 : 네이버(Naver) 지식인

  검색 도우미 : 서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1 (2012.11.26)

 

"Windows adhelp package" 프로그램의 배포 방식은 "서치엔(SearchN) - Sn_x32,x64 XML 1.0.0.1" 검색 도우미 프로그램이 설치된 PC 환경에서 시스템 시작시 자동 실행되는 "C:\Program Files\SearchN\SNUpdate.exe" 파일을 통해 일정 시간이 경과하면 "SearchN Updater" 창을 생성하여 "정규 업데이트 및 추가 프로그램 설치 안내"에 포함된 다수의 수익성 프로그램 중 "애드헬프"라는 이름으로 설치가 이루어지고 있는 것으로 확인되고 있습니다.

이를 통해 2013년 1월 31일경부터 다운로드된 설치 파일(MD5 : 9108696f23a75082a8b0d04895b3e8e5)은 안랩 클라우드(AhnLab Cloud) 기준으로 15,964 대에 발견되었으며, AhnLab V3 보안 제품에서는 PUP/Win32.Helper (VirusTotal : 11/46) 진단명으로 진단되고 있습니다.

프로그램 설치가 이루어지면 특정 서버로부터 설치 파일(MD5 : 9108696f23a75082a8b0d04895b3e8e5)을 다운로드하여 "C:\Documents and Settings\(사용자 계정)\Templates\adhelp_test31.exe" 파일로 생성한 후 프로그램 설치가 이루어집니다.

 

  개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

참고로 설치 과정에서 사용자 PC에 PC방 관리 프로그램이 존재할 경우 설치가 이루어지지 않도록 제작되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Templates\adhelp_test31.exe :: 프로그램 설치 파일
C:\Program Files\adhelp
C:\Program Files\adhelp\adhelp.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\adhelp\uninstall_adhelp.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Documents and Settings\(사용자 계정)\Templates\adhelp_test31.exe
 - MD5 : 9108696f23a75082a8b0d04895b3e8e5
 - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 11/46)

 

C:\Program Files\adhelp\adhelp.exe
 - MD5 : 951917c125eba910241826d30ad67cc6
 - AhnLab V3 : PUP/Win32.Helper (VirusTotal : 32/46)

 

해당 프로그램은 "C:\Program Files\adhelp" 폴더에 파일을 생성하며, Windows 시작시 adhelp.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

자동 실행된 adhelp.exe 파일은 네이버(Naver) 서버에 쿼리 전송, 프로그램 버전 체크, 광고 구성값 체크 등을 하며, 그 중에서 성인, 웹하드 관련 특정 사용자 검색 키워드 값으로 인터넷 검색을 시도할 경우 광고창이 생성되도록 되어 있습니다.

실제 테스트에서 성인 관련 검색어를 입력할 경우 광고창이 생성되는 부분을 확인할 수 있었습니다.

해당 광고 동작은 메모리에 상주하는 adhelp.exe 프로세스를 통해 이루어지므로, 광고 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 adhelp.exe 프로세스를 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "windows adhelp package" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Documents and Settings\(사용자 계정)\Templates\adhelp_test31.exe
  • C:\Program Files\adhelp
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\adhelp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - adhelp.exe = C:\Program Files\adhelp\adhelp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uninstall_adhelp.exe

프로그램 삭제에 어려움이 있는 사용자는 AhnLab Next V3 보안 제품을 이용하여 "불필요한 프로그램 검사(PUP)" 옵션을 이용하시면 프로그램의 진단 및 치료를 제공하고 있으므로 참고하시기 바랍니다.

 

일부 검색 도우미 프로그램은 광고 기능 이외에 업데이트 창을 생성하여 다수의 수익성 프로그램을 한 번에 설치하도록 하여 사용자가 어떤 프로그램이 설치되었는지 확인하기 어렵게 하므로 주의하시기 바랍니다.

 


728x90
반응형