본문 바로가기

벌새::Analysis

검색 도우미 : Searchto

인터넷 검색시 광고 코드가 추가된 광고창을 생성하는 검색 도우미 Searchto 프로그램(MD5 : 9a222ab3ab51820431bde2ffc4d129fe)에 대해 살펴보도록 하겠습니다.

프로그램 설치 과정에서는 생성된 searchto.exe 파일이 특정 서버로부터 업데이트 파일을 받아와 "C:\Documents and Settings\(사용자 계정)\Application Data\searchto\update1.exe" 파일(MD5 : 5fe4bed4378424785818153ed0498027)로 생성하여 실행한 후 자가 삭제 처리되도록 제작되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Documents and Settings\(사용자 계정)\Application Data\searchto
C:\Documents and Settings\(사용자 계정)\Application Data\searchto\searchto.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Documents and Settings\(사용자 계정)\Application Data\searchto\uninst.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\searchto" 폴더에 파일을 생성하며, Windows 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\searchto\searchto.exe" 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 사용자가 인터넷 검색을 시도할 경우 검색 키워드 값을 참조하여 자동으로 광고창이 생성되는 동작을 확인할 수 있습니다.

이 과정에서 특정 광고 코드(click.interich.com)가 추가되어 조건을 만족시킬 경우 프로그램 배포자에게 수익이 발생할 것으로 추정됩니다.

해당 광고 동작은 메모리에 상주하는 searchto.exe 프로세스를 통해 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 searchto.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

프로그램 삭제는 제어판에 등록된 "searchto" 삭제 항목을 이용하여 삭제할 수 있으며, 삭제 과정에서 제시되는 4자리 코드를 공란에 입력하여 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\s2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchto = C:\Documents and Settings\(사용자 계정)\Application Data\searchto\searchto.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchto

 

해당 프로그램은 인터넷 이용시 사용자에게 원치 않는 광고창을 자동으로 생성하여 불편을 줄 수 있으므로 주의하시기 바랍니다.