울지않는벌새 : Security, Movie & Society

국내 악성코드 : Winsearch - Winsearchex

벌새::Analysis

인터넷 검색시 "열린 주소창 검색(dns3.ktguide.com)"으로 연결 및 백그라운드 검색을 시도하는 검색 도우미 "Winsearch - Winsearchex" 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2012년 10월 29일경 최초 배포가 확인되었으며, 설치 파일(MD5 : ebe82d0847c01df04c349ab64a78ae98)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 32/45) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  검색 도우미 : Gmadsearch 1.00 (2013.3.18)

 

특히 "열린 주소창 검색" 결과창을 생성하는 다양한 변종 프로그램이 기존부터 발견되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Winsearchex
C:\Program Files\Winsearchex\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Winsearchex\Uninstall.ini
C:\Program Files\Winsearchex\winsearchex.dll :: BHO 등록 파일
C:\Program Files\Winsearchex\winsearchexdl.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\Winsearchex\winsearchex.dll
 - MD5 : f1025cf4efc3d91c1e9da3be0cb7073a
 - Microsoft : Trojan:Win32/Msidebar.C (VirusTotal : 27/45)

 

C:\Program Files\Winsearchex\winsearchexdl.exe
 - MD5 : 68f2372fe0f157d02c7bba841184afe8
 - avast! : Win32:Malware-gen (VirusTotal : 14/45)

해당 프로그램은 유사한 기능을 가진 프로그램을 통해 Internet Explorer 웹 브라우저 실행시 사용자 몰래 설치되었을 것으로 추정되며, "C:\Program Files\Winsearchex" 폴더에 파일을 생성하고 있습니다.

프로그램이 설치된 이후 사용자가 Internet Explorer 웹 브라우저를 실행하면 특정 IP 서버에서 광고 구성값과 함께 추가적인 프로그램이 존재할 경우 다운로드 및 실행이 이루어질 수 있습니다.

광고 동작을 살펴보면 사용자가 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 검색을 시도할 경우 "열린 주소창 검색(dns3.ktguide.com)" 결과로 연결되는 것을 확인할 수 있습니다.

또한 포털 사이트 검색을 이용할 경우 검색 키워드 값을 기반으로 한 "열린 주소창 검색(dns3.ktguide.com)"이 함께 이루어지는 분을 확인할 수 있습니다.

특히 해당 검색 키워드를 이용한 "열린 주소창 검색(dns3.ktguide.com)" 방식이 백그라운드 형태로 이루어지므로 사용자 눈에 보이지 않으며, 이로 인하여 인터넷 검색 속도 저하 문제를 유발할 가능성이 존재합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchexprg.winsearchex

게시자 : winsearchex

유형 : 브라우저 도우미 개체

CLSID : {8554E3F4-0650-4148-9840-13F1AC17085E}

파일 : C:\Program Files\Winsearchex\winsearchex.dll

 

해당 광고 동작은 웹 브라우저 실행시 브라우저 도우미 개체(BHO)로 등록된 winsearchex.dll 파일을 통해 이루어지므로, 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "winsearchexprg.winsearchex" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "Winsearch" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)을 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Winsearchex
  • C:\Program Files\Winsearchex\winsearchex.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8554E3F4-0650-4148-9840-13F1AC17085E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{30C95A81-0E8C-42A3-AA9A-C713F8BEF29C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C2051842-9973-40FC-BC54-37C9C500C748}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchexprg.winsearchex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - winsearchex = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{8554E3F4-0650-4148-9840-13F1AC17085E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Winsearch

 

해당 프로그램은 신뢰할 수 없는 서버로부터 사용자 몰래 다운로드 및 설치될 수 있으며, 인터넷 검색시 불필요한 백그라운드 검색으로 속도 저하를 유발할 수 있으므로 주의하시기 바랍니다.