본문 바로가기

벌새::Analysis

검색 도우미 : SmartSearch

728x90
반응형

인터넷 검색시 자동으로 광고창이 생성되는 검색 도우미 SmartSearch 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 3dfb4574c51b8c3908b1072d3107f16d)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.SmartSearch.874513 (VT : 27/47) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  검색 도우미 : Gmadsearch 1.00 (2013.3.18)

 

  국내 악성코드 : Winsearch - Winsearchex (2013.3.21)

 

  검색 도우미 : Winsearch - Winsearchone (2013.5.1)

 

  국내 악성코드 : Winsearchchi (2013.6.1)

 

  검색 도우미 : Winsearch - Winsearchkhs (2013.6.3)

 

기존에 "열린 주소창 검색" 광고와 연관된 검색 도우미 프로그램과 유사성이 존재하므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\smartsearch
C:\Program Files\smartsearch\smartsearch.dll :: BHO 등록 파일
C:\Program Files\smartsearch\smartsearch.exe :: 메모리 상주 프로세스
C:\Program Files\smartsearch\smartsearchhp.exe
C:\Program Files\smartsearch\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\smartsearch\Uninstall.ini
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램은 "C:\Program Files\smartsearch" 폴더에 파일을 생성하며, 과거 "검색 도우미 : 스마트서치(SmartSearch) (2011.6.16)" 프로그램도 동일한 폴더를 사용하고 있었습니다.

프로그램이 설치된 후 Internet Explorer 웹 브라우저를 실행하면 특정 IP 서버에서 광고 구성값 정보를 체크하는 동작을 확인할 수 있습니다.

또한 Windows 탐색기, Internet Explorer 웹 브라우저 실행시 자동으로 "C:\Program Files\smartsearch\smartsearch.exe" 프로세스가 로딩되어 메모리에 상주하도록 하는 동작을 확인할 수 있습니다.

이렇게 실행된 smartsearch.exe 프로세스는 사용자가 접속하는 웹 사이트 정보 및 Mac Address 값을 기반으로 한 검색 키워드 정보를 특정 광고 서버로 전송하는 것을 확인할 수 있습니다.

 

해당 광고 서버는 기존에 알려진 윙고 툴바(WingGo Toolbar), 코덱플러스(CodecPlus) 광고로 소개된 적이 있으므로 참고하시기 바랍니다.

SmartSearch 검색 도우미 프로그램이 설치된 환경에서 인터넷 검색을 할 경우 자동으로 추가적인 광고창이 생성되는 것을 확인할 수 있습니다.

해당 광고창 생성시에는 윙고 툴바(WingGo Toolbar) 광고 서버에서 정보를 받아와서 노출되는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : smartsearchpg.smartsearch

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {BE48C8A9-73C8-433A-A705-A800ABB5D5A0}

파일 : C:\Program Files\smartsearch\smartsearch.dll

 

SmartSearch 검색 도우미 프로그램은 smartsearch.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 Windows 탐색기 및 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\smartsearch\smartsearch.exe" 프로세스를 추가하며, 인터넷 검색시 광고창이 생성되도록 제작되어 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "smartsearchpg.smartsearch" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

프로그램 삭제시에는 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

(1) Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "프로그램 추가/제거" 메뉴를 실행합니다.

 

(2) 해당 메뉴가 생성된 상태에서 Windows 작업 관리자를 실행하여 smartsearch.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

(3) 제어판에 등록된 "smartsearch" 삭제 항목을 이용하여 프로그램을 삭제한 후, 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\smartsearch
  • C:\Program Files\smartsearch\smartsearch.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BE48C8A9-73C8-433A-A705-A800ABB5D5A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{997974DB-4CFC-47A0-91AE-C687D82F686F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\smartsearchpg.smartsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{AA3B5F0E-FC96-4660-A3CA-5E2E9AD1554D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - smartsearch = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{BE48C8A9-73C8-433A-A705-A800ABB5D5A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
smartsearch
HKEY_LOCAL_MACHINE\SOFTWARE\smartsearch

 

해당 프로그램은 인터넷 검색시 원치 않는 광고창을 생성하며, Windows 탐색기 및 웹 브라우저 실행시마다 smartsearch.exe 프로세스를 자동으로 실행하는 문제가 있으므로 주의하시기 바랍니다.

728x90
반응형