울지않는벌새 : Security, Movie & Society

검색 도우미 : EasyClick

벌새::Analysis

인터넷 검색시 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 시도하며 추가적인 광고창을 자동으로 생성하는 검색 도우미 EasyClick 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램의 설치 파일(MD5 : bb04669a82fd652483d6265eb1b4447a)에 대하여 MSE 보안 제품에서는 Trojan:Win32/Msidebar.C (VT : 8/46) 진단명으로 진단되고 있습니다.

 

  <2011년 관련 정보> 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종

 

  <2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 15종

 

  <2013년 1월~6월 관련 정보> 국내 악성코드 : Winsearchmein (2013.6.23) 외 7종

 

  검색 도우미 : Winsearch - msopensearchw (2013.7.18)

 

또한 기존부터 다양한 이름을 가진 유사한 기능을 가진 검색 도우미 프로그램이 있었으므로 참고하시기 바랍니다.

 

참고로 테스트 과정에서 Windows 7 운영 체제에서는 정상적으로 동작하지 않는 문제로 Windows XP 운영 체제에서 진행하였습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\EasyClick
C:\Program Files\EasyClick\easyclickaddr.dll :: BHO(easyclickaddrpg.easyclickaddr) 등록 파일
C:\Program Files\EasyClick\easyclickbar.dll :: 이지클릭 툴바 등록 파일
C:\Program Files\EasyClick\easyclickpg.dll :: BHO(easyclickcfg.easyclickpg) 등록 파일
C:\Program Files\EasyClick\easyclickpg.exe :: 메모리 상주 프로세스
C:\Program Files\EasyClick\easyclickpg.txt
C:\Program Files\EasyClick\easyclickun.exe
C:\Program Files\EasyClick\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\EasyClick\Uninstall.ini
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\EasyClick\easyclickaddr.dll
 - MD5 : 56176ed0834950bb38470a0e4bcd4f4d
 - avast! : Win32:Downloader-UHH [PUP] (VT : 4/46)

 

C:\Program Files\EasyClick\easyclickbar.dll
 - MD5 : 030dd45304c155a16428bb39cc807cb0
 - avast! : Win32:Downloader-UHH [PUP] (VT : 1/47)

 

C:\Program Files\EasyClick\easyclickpg.dll
 - MD5 : b44bdd5d6baf71a96b22edb8ae5d64b1
 - avast! : Win32:VB-ACAG [Trj] (VT : 7/47)

 

C:\Program Files\EasyClick\easyclickpg.exe
 - MD5 : 41bad42e7f381283f11980d06df38900
 - avast! : Win32:VB-XHD [Trj] (VT : 1/47)

 

C:\Program Files\EasyClick\easyclickun.exe
 - MD5 : 9ad2c14dc2dfb555acb60ca79c9729dd
 - avast! : Win32:Downloader-UHH [PUP] (VT : 4/48)

해당 프로그램은 "C:\Program Files\EasyClick" 폴더에 파일을 생성하며, 프로그램이 설치된 환경에서는 다음과 같은 동작이 프로그램이 실행됩니다.

사용자가 Internet Explorer 웹 브라우저(iexplore.exe) 또는 Windows 탐색기(explorer.exe)를 실행할 경우 자동으로 "C:\Program Files\EasyClick\easyclickpg.exe" 파일을 실행되어, 특정 IP 서버로부터 광고 구성값 및 추가적인 다운로드를 체크하는 동작을 수행한 후 메모리에 상주합니다.

 

1. Internet Explorer 웹 브라우저의 주소 표시줄 검색시 "열린 주소창 검색(dns3.ktguide.com)" 연결

사용자가 Internet Explorer 웹 브라우저의 주소 표시줄에 검색 키워드를 입력할 경우 웹 브라우저 기본 검색 엔진이 아닌 "열린 주소창 검색(dns3.ktguide.com)"으로 연결되어 검색 키워드에 따른 검색이 이루어집니다.

 

2. 인터넷 검색시 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)" 수행

사용자가 인터넷 검색을 시도할 경우 easyclickpg.exe 프로세스는 검색 키워드 값을 참조하여 백그라운드 방식으로 "열린 주소창 검색(dns3.ktguide.com)"을 수행합니다.

이로 인하여 화면 상에서는 보이지 않지만 불필요한 검색 수행을 통해 인터넷 속도 저하 등을 유발할 수 있습니다.

 

3. 인터넷 검색시 추가적인 광고창 생성

또한 인터넷 검색을 통해 웹 사이트 접속이 이루어지는 과정에서 자동으로 추가적인 광고창이 생성될 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : 이지클릭 툴바

게시자 : OCEAN INC Co.,Ltd.

유형 : 도구 모음

CLSID : {C05E72EC-DFE3-42F7-A257-D2234BB73F7D}

파일 : C:\Program Files\EasyClick\easyclickbar.dll

 

이름 : easyclickcfg.easyclickpg

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {A2DE3C41-5D43-4490-92BF-A3BCE3308EE1}

파일 : C:\Program Files\EasyClick\easyclickpg.dll

 

이름 : easyclickaddrpg.easyclickaddr

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {FA73B4E4-818C-4276-B75A-5FA17A9ED80F}

파일 : C:\Program Files\EasyClick\easyclickaddr.dll

 

EasyClick 프로그램은 Internet Explorer 웹 브라우저 동작시 easyclickaddr.dll, easyclickpg.dll 2개의 파일을 브라우저 도우미 개체(BHO)로 등록하여 광고창 생성 및 열린 주소창 검색(dns3.ktguide.com) 연결을 시도하며, 그 외에도 도구 모음에 "이지클릭 툴바(easyclick.Ctoolbar)"를 추가하고 있지만 정상적으로 동작하지는 않는 것으로 보입니다.

 

그러므로 광고 동작 중지를 위해서는 Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "이지클릭 툴바", "easyclickcfg.easyclickpg", "easyclickaddrpg.easyclickaddr" 3개의 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 모두 종료한 상태에서 제어판의 "프로그램 추가/제거" 창을 오픈한 후 Windows 작업 관리자를 실행하여 easyclickpg.exe 프로세스를 찾아 수동으로 종료한 후 "EasyClick" 삭제 항목을 이용하여 삭제하시기 바랍니다.

 

프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 수동으로 삭제하시기 바랍니다.

  • C:\Program Files\EasyClick
  • C:\Program Files\EasyClick\easyclickaddr.dll
  • C:\Program Files\EasyClick\easyclickpg.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A2DE3C41-5D43-4490-92BF-A3BCE3308EE1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C05E72EC-DFE3-42F7-A257-D2234BB73F7D}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C74371A7-C3B6-487E-9E64-01A123F60F4C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FA73B4E4-818C-4276-B75A-5FA17A9ED80F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{3B8AA616-DFFA-4F1A-B376-C14FE288E01E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4BCD95E1-D9D9-4ED7-A726-45D2B057959B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{67314F84-7FF5-4D3C-951C-BAFF3B226268}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{D1C59A89-1EA9-47A3-999C-272368CD98F3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{97994979-6E21-41AC-B6DF-8C1FC394DFA8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A4B83944-F823-4D81-9A5B-75988565B7C1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{A72B9819-A171-42BB-9659-D4A5258D5081}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\easyclick.Ctoolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\easyclick.ISubclass
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\easyclickaddrpg.easyclickaddr
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\easyclickcfg.easyclickpg
HKEY_LOCAL_MACHINE\SOFTWARE\easyclickpg
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
 - {C05E72EC-DFE3-42F7-A257-D2234BB73F7D} = Easyclick Toolbar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{A2DE3C41-5D43-4490-92BF-A3BCE3308EE1}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{FA73B4E4-818C-4276-B75A-5FA17A9ED80F}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
EasyClick

 

EasyClick 프로그램은 인터넷 검색시마다 자동으로 "열린 주소창 검색(dns3.ktguide.com)"이 함께 이루어지는 문제로 인터넷 검색 속도 저하 등의 문제를 유발할 수 있으므로 주의하시기 바랍니다.