울지않는벌새 : Security, Movie & Society

국내 악성코드 : Winsearchmein

벌새::Analysis

웹 브라우저 주소 표시줄에 특정 검색 키워드 값을 입력할 경우 "열린 주소창 검색(dns3.ktguide.com)"으로 연결되며, 인터넷 검색시 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 시도하는 검색 도우미 Winsearchmein 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : aec42e8d7e2ea5dd9f31e403825e0387)에 대하여 AhnLab V3 보안 제품에서는 Downloader/Win32.Agent (VT : 28/47) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  검색 도우미 : Gmadsearch 1.00 (2013.3.18)

 

  국내 악성코드 : Winsearch - Winsearchex (2013.3.21)

 

  검색 도우미 : Winsearch - Winsearchone (2013.5.1)

 

  국내 악성코드 : Winsearchchi (2013.6.1)

 

  검색 도우미 : Winsearch - Winsearchkhs (2013.6.3)

 

  검색 도우미 : SmartSearch (2013.6.3)

 

  검색 도우미 : Winsearch - Winsearchcc (2013.6.16)

 

기존부터 다양한 이름으로 유사한 기능을 가진 프로그램이 유포되고 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Winsearchmein
C:\Program Files\Winsearchmein\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Winsearchmein\Uninstall.ini
C:\Program Files\Winsearchmein\winsearchmein.dll :: BHO 등록 파일
C:\Program Files\Winsearchmein\winsearchmeindl.exe
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX

C:\WINDOWS\system32\winsearchmeininst.exe
C:\WINDOWS\system32\VB6KO.DLL

해당 프로그램은 설치시 "C:\WINDOWS\system32\winsearchmeininst.exe" 설치 파일(MD5 : 8f54cdebf347d9b55bb0fe5ec93fff0f)을 생성하여 "C:\Program Files\Winsearchmein" 폴더에 파일을 생성하며, 프로그램 설치 후 사용자가 Internet Explorer 웹 브라우저 실행시 설치 파일은 자가 삭제 처리됩니다.

프로그램 설치 후 웹 브라우저 동작시 특정 IP 서버를 통해 광고 구성값 정보를 체크하며, 이 과정에서 추가적인 프로그램이 등록되어 있을 경우 백그라운드 방식으로 다운로드 및 실행되도록 구성되어 있습니다.

프로그램이 설치된 환경에서 특정 검색 키워드 값을 웹 브라우저의 주소 표시줄에 입력할 경우 "열린 주소창 검색(dns3.ktguide.com)"으로 연결되는 동작을 확인할 수 있습니다.

또한 사용자가 인터넷 검색을 시도하는 과정에서 해당 검색 키워드 값을 참조하여 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 시도합니다.

추가적인 인터넷 검색시에는 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"이 지속적으로 이루어지며, 이 과정에서 "C:\Program Files\Winsearchmein\winsearchmeindl.exe" 파일을 실행하여 특정 IP 서버와 통신하는 부분을 확인할 수 있습니다.

특히 Winsearchmein 프로그램 설치 환경에서는 인터넷 검색 후 웹 브라우저를 종료하여도 백그라운드 방식으로 열린 "열린 주소창 검색(dns3.ktguide.com)" 프로세스는 종료되지 않는 문제가 발생할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : winsearchmeinprg.winsearchmein

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {161E719F-F0AA-423D-9B7E-ABDE503456B6}

파일 : C:\Program Files\Winsearchmein\winsearchmein.dll

 

해당 광고 동작은 웹 브라우저 실행시 winsearchmein.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여 검색 키워드 값을 참조하여 "열린 주소창 검색(dns3.ktguide.com)"이 이루어지도록 구성되어 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "winsearchmeinprg.winsearchmein" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "Winsearchmein" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\Winsearchmein
  • C:\Program Files\Winsearchmein\winsearchmein.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{161E719F-F0AA-423D-9B7E-ABDE503456B6}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FA4E937A-BD87-4D6D-96A9-BD57959E7227}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{CDE85F61-603C-4353-8083-B56D840843BE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winsearchmeinprg.winsearchmein
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - winsearchmein = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{161E719F-F0AA-423D-9B7E-ABDE503456B6}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
Winsearchmein
HKEY_LOCAL_MACHINE\SOFTWARE\winsearchmein

 

Winsearchmein 프로그램은 인터넷 이용시 사용자 화면에는 표시되지 않지만 백그라운드 방식으로 웹 서버 연결이 이루어지는 문제로 인터넷 속도 저하를 유발할 수 있으며, 차후 사용자 몰래 추가적인 프로그램 설치 동작도 가능하므로 주의하시기 바랍니다.