본문 바로가기

벌새::Analysis

국내 악성코드 : Winsearchchi

웹 브라우저 주소 표시줄 검색을 통해 "열린 주소창 검색(dns.ktguide.com)"으로 연결이 이루어지며, 인터넷 검색시 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 시도하는 검색 도우미 Winsearchchi 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : e3e576d365d13e408d33ba0cdc41561b)은 2012년 11월 9일경부터 유포가 시작되었으며, AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VT : 32/47) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  검색 도우미 : Gmadsearch 1.00 (2013.3.18)

 

  국내 악성코드 : Winsearch - Winsearchex (2013.3.21)

 

  검색 도우미 : Winsearch - Winsearchone (2013.5.1)

 

기존에 유사성이 강한 다수의 검색 도우미 프로그램들이 발견되고 있었으므로 참고하시기 바랍니다.

 

프로그램 설치 과정에서는 "C:\Program Files\winsearchchi\installwin.exe" 파일(MD5 : f1e6d9d7746e7434eceb3efe22c496f2)을 생성하여 프로그램을 설치한 후 자가 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\winsearchchi
C:\Program Files\winsearchchi\cleversearchdtn.dll :: BHO(cleversearchdtncfg.cleversearchdtn) 등록 파일
C:\Program Files\winsearchchi\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\winsearchchi\Uninstall.ini
C:\Program Files\winsearchchi\winsearchchi.dll :: BHO(winsearchchiprg.winsearchchi) 등록 파일
C:\Program Files\winsearchchi\winsearchchidl.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\winsearchchi\cleversearchdtn.dll
 - MD5 : fb2e5cd6c6e4514876df4e8ea0310914
 - AhnLab V3 : Trojan/Win32.Gen (VT : 31/47)

 

C:\Program Files\winsearchchi\winsearchchi.dll
 - MD5 : 0caf020344bb05c18c3e87218c6ca71a
 - MSE : Trojan:Win32/Msidebar.C (VT : 16/47)

해당 프로그램은 "C:\Program Files\winsearchchi" 폴더에 파일을 생성하며, 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 실행하면 브라우저 도우미 개체(BHO)로 등록된 2개의 파일을 통해 다음과 같은 추가적인 연결 동작이 이루어집니다.

 

1. "C:\Program Files\winsearchchi\cleversearchdtn.dll" 브라우저 도우미 개체(BHO) 파일

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : cleversearchdtncfg.cleversearchdtn

게시자 : cleversearchdtn

유형 : 브라우저 도우미 개체

CLSID : {7F5B0E7E-6873-4144-AE95-1AC4E5E1A2EC}

파일 : C:\Program Files\winsearchchi\cleversearchdtn.dll

 

cleversearchdtn.dll 파일은 브라우저 도우미 개체(BHO)로 등록되어 웹 브라우저 실행시 특정 IP 서버에서 광고 구성값 및 추가적으로 등록된 파일이 존재할 경우 자동으로 다운로드하여 설치가 이루어질 수 있습니다.

이를 통해 사용자가 인터넷 검색을 시도할 경우 백그라운드 방식으로 검색 키워드 값을 참조하여 "열린 주소창 검색(dns3.ktguide.com)"을 수행하는 동작을 확인할 수 있습니다.

또한 이 과정에서 ["C:\Program Files\winsearchchi\winsearchchidl.exe" snd2] 파일을 추가 실행하여 특정 광고 서버에 사용자 Mac Address 및 검색 키워드 값을 체크하는 동작을 확인할 수 있습니다.

 

위와 같은 동작은 사용자가 인터넷 검색을 이용하는 과정에서 불필요한 외부 연결이 이루어지는 문제로 인하여 인터넷 속도 저하 및 오류가 발생할 가능성이 존재합니다.

 

2. "C:\Program Files\winsearchchi\winsearchchi.dll" 브라우저 도우미 개체(BHO) 파일

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchchiprg.winsearchchi

게시자 : winsearchchi

유형 : 브라우저 도우미 개체

CLSID : {6A400D27-DB57-4F26-BBEF-6C43B5D13AB8}

파일 : C:\Program Files\winsearchchi\winsearchchi.dll

 

winsearchchi.dll 파일은 브라우저 도우미 개체(BHO)로 등록되어 웹 브라우저 실행시 특정 IP 서버에서 광고 구성값 정보를 받아오는 동작을 수행합니다.

이를 통해 웹 브라우저의 주소 표시줄 영역에 검색 키워드 값 입력을 통해 검색을 시도할 경우 "열린 주소창 검색(dns.ktguide.com)" 결과로 연결되는 동작을 수행합니다.

위와 같은 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "cleversearchdtncfg.cleversearchdtn", "winsearchchiprg.winsearchchi" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "winsearchchi" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\winsearchchi
  • C:\Program Files\winsearchchi\cleversearchdtn.dll
  • C:\Program Files\winsearchchi\winsearchchi.dll
  • C:\Program Files\winsearchchi\winsearchchidl.exe
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cleversearchdtncfg.cleversearchdtn
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6A400D27-DB57-4F26-BBEF-6C43B5D13AB8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7F5B0E7E-6873-4144-AE95-1AC4E5E1A2EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{37819107-CED7-44B2-A12F-DA3427C9BCA5}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{85892687-DD45-4051-BE6D-F6BEE8E3D718}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{0E61EC7F-3611-4ABB-BE26-97035A7894EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{86A507D7-DE8A-4823-84A4-FE139DB9B393}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchchiprg.winsearchchi
HKEY_LOCAL_MACHINE\SOFTWARE\cleversearchdtn
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6A400D27-DB57-4F26-BBEF-6C43B5D13AB8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{7F5B0E7E-6873-4144-AE95-1AC4E5E1A2EC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winsearchchi
HKEY_LOCAL_MACHINE\SOFTWARE\winsearchchi

 

해당 프로그램은 유사한 기능을 가진 프로그램을 다양한 프로그램 이름과 파일명으로 변경하여 지속적으로 유포를 하고 있으며, 차후 특정 시점에서는 사용자 몰래 추가적인 수익성 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.