울지않는벌새 : Security, Movie & Society

검색 도우미 : Winsearch - Winsearchcc

벌새::Analysis

웹 브라우저 주소 표시줄 검색시 "열린 주소창 검색(dns3.ktguide.com)"으로 연결이 되며, 인터넷 검색시 추가적인 광고창이 생성되는 검색 도우미 Winsearch 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : 0b2db586113b4f37d1b40b62a174ce70)에 대하여 nProtect 보안 제품에서는 Trojan-Downloader/W32.Agent.941960 (VT : 21/47) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  검색 도우미 : Gmadsearch 1.00 (2013.3.18)

 

  국내 악성코드 : Winsearch - Winsearchex (2013.3.21)

 

  검색 도우미 : Winsearch - Winsearchone (2013.5.1)

 

  국내 악성코드 : Winsearchchi (2013.6.1)

 

  검색 도우미 : Winsearch - Winsearchkhs (2013.6.3)

 

  검색 도우미 : SmartSearch (2013.6.3)

 

기존에 유사성이 강한 다수의 검색 도우미 프로그램들이 배포되고 있었으므로 참고하시기 바랍니다.

 

프로그램 설치 과정에서는 "C:\WINDOWS\system32\winsearchccinst.exe" 파일(MD5 : ede4268721bd4cd9e98b1b1995786e69)을 생성하여 파일을 생성하며, 프로그램 설치 완료 후 Windows 탐색기 또는 Internet Explorer 웹 브라우저 실행시 자가 삭제 처리됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\winsearchcc
C:\Program Files\winsearchcc\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\winsearchcc\Uninstall.ini
C:\Program Files\winsearchcc\winsearchcc.dll :: BHO(winsearchccprg.winsearchcc) 등록 파일
C:\Program Files\winsearchcc\winsearchccdl.exe
C:\Program Files\winsearchcc\winsearchcv.dll :: BHO(winsearchcvcfg.winsearchcv) 등록 파일
C:\Program Files\winsearchcc\winsearchcv.exe :: 메모리 상주 프로세스
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램은 "C:\Program Files\winsearchcc" 폴더에 주요 파일을 생성하며, Windows 탐색기 또는 Internet Explorer 웹 브라우저 실행시 동작하도록 구성되어 있습니다.

 

1. "C:\Program Files\winsearchcc\winsearchcc.dll" 브라우저 도우미 개체(BHO) 파일

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchccprg.winsearchcc

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {84A4BEA9-3F56-49EC-A2DC-17F03DA32D8B}

파일 : C:\Program Files\winsearchcc\winsearchcc.dll

 

winsearchcc.dll 파일은 브라우저 도우미 개체(BHO)로 등록되어 Internet Explorer 웹 브라우저 실행시 특정 IP 서버로부터 광고 구성값 및 추가적인 프로그램이 존재할 경우 백그라운드 방식으로 다운로드 및 실행되도록 구성되어 있습니다.

winsearchcc.dll 파일은 웹 브라우저의 주소 표시줄 영역에 검색어를 입력하여 검색을 시도할 경우, "열린 주소창 검색(dns3.ktguide.com)"으로 연결이 이루어지는 동작을 확인할 수 있습니다.

또한 인터넷 검색시 사용자가 입력한 검색 키워드 값을 참조하여 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 수행하는 동작이 있으며, 이로 인하여 불필요한 웹 서버 연결로 인해 인터넷 속도 저하 등의 문제를 유발할 수 있습니다.

 

그 외에 인터넷 검색을 통해 인터넷 쇼핑몰 접속시 사용자 몰래 제휴 코드가 추가될 수 있는 것으로 보입니다.

 

2. "C:\Program Files\winsearchcc\winsearchcv.dll" 브라우저 도우미 개체(BHO) 파일

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchcvcfg.winsearchcv

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {3D8BEA5F-AFD7-4DA5-B3DA-5D18C657F8BE}

파일 : C:\Program Files\winsearchcc\winsearchcv.dll

 

winsearchcv.dll 파일은 Windows 탐색기 및 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\winsearchcc\winsearchcv.exe" 파일을 추가로 실행하며, 특정 IP 서버로부터 광고 구성값 및 추가된 프로그램이 존재할 경우 백그라운드 방식으로 다운로드 및 실행되도록 구성되어 있습니다.

 

(1) "C:\Program Files\winsearchcc\winsearchcv.exe" 파일 기능

"winsearchcvcfg.winsearchcv" 브라우저 도우미 개체(BHO)를 통해 Windows 탐색기 실행 또는 Internet Explorer 웹 브라우저 실행 및 종료시 자동 실행되는 "C:\Program Files\winsearchcc\winsearchcv.exe" 파일은 메모리에 상주하도록 구성되어 있습니다.

실행된 winsearchcv.exe 파일은 사용자가 접속하는 웹 사이트 URL 주소, 사용자 Mac Address, 검색 키워드 값을 윙고 툴바(WingGo Toolbar), 코덱플러스(CodecPlus) 광고 서버에서 수집하고 있습니다.

 

(2) "winsearchcvcfg.winsearchcv" 브라우저 도우미 개체(BHO) 기능

브라우저 도우미 개체(BHO)로 등록된 winsearchcv.dll 파일은 인터넷 검색시 검색 키워드 값을 참조하여 추가적인 광고창을 생성하는 동작을 수행합니다.

이 과정에서 윙고 툴바(WingGo Toolbar) 광고 서버를 경유한 암호화된 제휴 코드가 추가되는 동작을 확인할 수 있습니다.

 

3. 프로그램 삭제

프로그램 삭제를 위해서는 우선적으로 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "winsearchcvcfg.winsearchcv", "winsearchccprg.winsearchcc" 2개의 브라우저 도우미 개체(BHO) 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "프로그램 추가/제거" 메뉴를 실행한 후, Windows 작업 관리자를 실행하여 메모리에 상주하는 winsearchcv.exe 프로세스를 종료하시기 바랍니다.

 

모든 조치가 완료된 상태에서 제어판에 등록된 "winsearch" 삭제 항목을 이용하여 프로그램을 삭제할 수 있으며, 프로그램 삭제 완료 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\winsearchcc
  • C:\Program Files\winsearchcc\winsearchcc.dll
  • C:\Program Files\winsearchcc\winsearchcv.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3D8BEA5F-AFD7-4DA5-B3DA-5D18C657F8BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{84A4BEA9-3F56-49EC-A2DC-17F03DA32D8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{995E9F8E-0E83-4A4A-991C-493F99129BF8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BDB5EAFE-713F-4F14-8763-26520634F2ED}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{7F7EF7D7-AAEC-46B5-BBDD-6E90841E9036}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{91FE137B-3F05-4A35-8B43-9CD1D9BDB2CF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchccprg.winsearchcc
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchcvcfg.winsearchcv
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - winsearchcc = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3D8BEA5F-AFD7-4DA5-B3DA-5D18C657F8BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{84A4BEA9-3F56-49EC-A2DC-17F03DA32D8B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
winsearch
HKEY_LOCAL_MACHINE\SOFTWARE\winsearchcc
HKEY_LOCAL_MACHINE\SOFTWARE\winsearchcv

 

기존부터 다양한 폴더에 동일한 Winsearch 프로그램 이름으로 검색 도우미 프로그램을 설치하여 광고 활동을 하고 있으며, 차후 특정 시점에서 사용자 몰래 추가적인 유사한 프로그램을 설치할 수 있으므로 주의하시기 바랍니다.