본문 바로가기

벌새::Analysis

검색 도우미 : PowerSearch

Windows 창의 우측 상단 영역에 네이버(Naver) 검색바를 생성하며, 인터넷 검색 중 추가적인 광고창을 생성할 수 있는 검색 도우미 PowerSearch 프로그램(MD5 : 720c15a4d2fa12c4bb2938420d03ac15)에 대해 살펴보도록 하겠습니다.

 

  검색 도우미 : Winapp for Windows 버전 1.0.0.2 (2012.6.12)

 

  검색 도우미 : toastpop 버전 1.0.0.1 (2013.2.28)

 

  검색 도우미 : homewinsigntool (2013.3.11)

 

  검색 도우미 : homeappsigntool (2013.3.15)

 

  검색 도우미 : Microadbar (2013.3.28)

 

기존에 해당 프로그램과 유사성이 있는 다양한 검색 도우미 프로그램들이 있었으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Roaming\powersearch
C:\Users\(사용자 계정)\AppData\Roaming\powersearch\powersearch.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Roaming\powersearch\psearch.dll :: BHO 등록 파일
C:\Users\(사용자 계정)\AppData\Roaming\powersearch\SetupUtil.dll
C:\Users\(사용자 계정)\AppData\Roaming\powersearch\unins000.dat
C:\Users\(사용자 계정)\AppData\Roaming\powersearch\unins000.exe :: 프로그램 삭제 파일

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\powersearch" 폴더에 파일을 생성하며, Windows 시작시 ["C:\Users\(사용자 계정)\AppData\Roaming\powersearch\powersearch.exe" update] 파일을 시작 프로그램으로 등록하여 업데이트 및 광고 구성값 체크를 수행하도록 구성되어 있습니다.

 

프로그램이 설치된 환경에서는 Windows 탐색기, 웹 브라우저 등을 비롯하여 Windows 창의 우측 상단 영역에 Naver 검색바가 노출되도록 제작되어 있습니다.

 

  <Right Security Blog> 검색 도우미 : FunTop - Windows Title bar Info Service (2011.4.12)

 

  검색 도우미 : 써치앤큐(SearchNQ) (2011.6.9)

 

위와 같은 검색바 노출 방식은 기존에 일부 검색 도우미 프로그램에서 발견되었으므로 참고하시기 바랍니다.

프로그램이 설치된 환경에서 인터넷 검색을 시도할 경우, 메모리에 상주하는 powersearch.exe 프로세스는 검색 키워드 값을 기반으로 iexplore.exe 프로세스(백그라운드 방식의 웹 브라우저 연결)를 추가하는 동작을 확인할 수 있습니다.

 

  • h**p://filter.win***.kr/searchdata.php?searchtype=keyword&searchvalue=(사용자 검색 키워드)&sitecode=B003&ver=1.0.0.25&mac=(사용자 Mac Address)&varurl=&swhere=search%2enaver%2ecom
  • h**p://www.win***.kr/advertisement_xml.php?searchtype=keyword&searchvalue=(사용자 검색 키워드)&sitecode=B003&ver=1.0.0.25&mac=(사용자 Mac Address)&varurl=&swhere=search%2enaver%2ecom

이를 통해 사용자 검색 키워드, Mac Address, 프로그램 버전, 검색 사이트 등의 정보를 특정 서버에 전송하며, 특정 검색 조건이 맞을 경우 추가적인 광고창 등의 광고 행위를 통해 수익을 창출할 것으로 추정됩니다.

특히 사용자가 입력한 검색 키워드 값마다 powersearch.exe 프로세스는 iexplore.exe 프로세스를 지속적으로 누적 생성하는 문제와 자동 종료가 이루어지지 않는 문제를 통해 메모리 사용량이 증가할 수도 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : powersearch Helper Object

게시자 : OPEN.s.

유형 : 브라우저 도우미 개체

CLSID : {0F9D3470-ACE8-4A8E-8A2F-988576341613}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\powersearch\psearch.dll

 

이름 : powersearch

게시자 : OPEN.s.

유형 : 탐색창

CLSID : {0F769B28-FFA8-4EE7-8C44-0E56B72F376F}

파일 : C:\Users\(사용자 계정)\AppData\Roaming\powersearch\psearch.dll

 

해당 광고 동작은 "C:\Users\(사용자 계정)\AppData\Roaming\powersearch\psearch.dll" 파일을 브라우저 도우미 개체(BHO) 및 탐색창으로 등록하여 검색바 생성과 검색 키워드 감시를 통한 광고창 생성이 이루어지도록 구성되어 있습니다.

 

그러므로 광고 동작 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "powersearch Helper Object", "powersearch" 2개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 powersearch.exe 프로세스를 찾아 수동으로 종료하여 광고 동작을 중지하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판에 등록된 "powersearch" 삭제 항목을 이용하여 삭제할 수 있습니다.(※ 웹 브라우저 종료시 Windows 작업 관리자를 실행하여 iexplore.exe 프로세스가 존재할 경우 모두 종료하시기 바랍니다.)

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - powersearch = T
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - powersearch = "C:\Users\(사용자 계정)\AppData\Roaming\powersearch\powersearch.exe" update
HKEY_CURRENT_USER\Software\powersearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F769B28-FFA8-4EE7-8C44-0E56B72F376F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0F9D3470-ACE8-4A8E-8A2F-988576341613}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\psearch.powersearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0F9D3470-ACE8-4A8E-8A2F-988576341613}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{53403CB4-E619-4A64-B28D-A6159FE8F354}_is1

 

PowerSearch 프로그램은 인터넷 검색시마다 백그라운드 방식으로 iexplore.exe 프로세스가 증가시키는 문제로 메모리 사용량을 증가시킬 수 있으며, 원치 않는 광고창 생성을 통해 불편을 유발할 수 있으므로 주의하시기 바랍니다.