울지않는벌새 : Security, Movie & Society

[삭제] 서치콘(SearchCon)

벌새::Analysis

즐겨찾기, 시작 메뉴, 바탕 화면에 인터넷 쇼핑몰 등 바로가기 아이콘을 생성하며, 프로그램 삭제시 정상적으로 삭제되지 않는 국내에서 제작된 서치콘(SearchCon) 프로그램<MD5 : 7e151d6a52bb5c6828ceaeb14ff93d77 - AhnLab V3 : PUP/Win32.UCF (VT : 8/49)>에 대해 살펴보도록 하겠습니다.

 

  [삭제] 엔터링(Entering) (2012.11.7)

 

  [삭제] FlashLinker (2013.6.5)

 

해당 프로그램은 기존에 배포된 바로가기 아이콘을 생성하는 Entering, FlashLinker 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\ico
C:\Program Files\ico\searchcon
C:\Program Files\ico\searchcon\history1.txt
C:\Program Files\ico\searchcon\history2.txt
C:\Program Files\ico\searchcon\history3.txt
C:\Program Files\ico\searchcon\searchcon.exe
C:\Program Files\ico\searchcon\uninst_searchcon.exe :: 프로그램 삭제 파일
C:\Program Files\ico\tmp
C:\Program Files\ico\tmp\11st.ico
C:\Program Files\ico\tmp\auction.ico
C:\Program Files\ico\tmp\gmarket.ico
C:\Program Files\ico\tmp\icon_30.ico
C:\Program Files\ico\tmp\installer.ico
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\11번가바로가기.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\무료압축프로그램바로가기.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\섹시유머바로가기.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\옥션바로가기.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\지마켓바로가기.lnk
C:\Users\(사용자 계정)\Favorites\11번가.url
C:\Users\(사용자 계정)\Favorites\섹시유머.url
C:\Users\(사용자 계정)\Favorites\옥션.url
C:\Users\(사용자 계정)\Favorites\지마켓.url
C:\Windows\System32\searchcon-se.exe :: 서비스(searchconservice) 등록 파일
C:\Windows\System32\searchconu.exe

 

[생성 파일 진단 정보]

 

C:\Program Files\ico\searchcon\searchcon.exe
 - MD5 : a47eda90423a8cba7a09056e049838d7
 - AhnLab V3 : PUP/Win32.UCF (VT : 6/49)

 

C:\Program Files\ico\searchcon\uninst_searchcon.exe
 - MD5 : 575b5a1693d225fa82b04ecf6b6ba381
 - avast! : Win32:Adware-AZI [Adw] (VT : 14/48)

 

C:\Windows\System32\searchcon-se.exe
 - MD5 : 73c35e4d91223c93474823ac4c2899af
 - ESET : a variant of Win32/Adware.Kraddare.EB (VT : 3/49)

 

C:\Windows\System32\searchconu.exe
 - MD5 : 370ebd58f60ec23a75456b9cc5aa8c4d
 - MSE : Rogue:Win32/Onescan (VT : 9/49)

 

해당 프로그램은 "C:\Program Files\ico" 폴더와 Windows 시스템 폴더 내에 파일을 생성하며, 시스템 시작시 다음과 같은 동작을 수행합니다.

"searchconservice (표시 이름 : Searchcon Service)" 서비스 항목을 등록하여 시스템 시작시 "C:\Windows\System32\searchcon-se.exe" 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 서비스 파일(searchcon-se.exe)은 "C:\Windows\System32\searchconu.exe" 파일을 로딩하여 프로그램 업데이트 및 제휴 프로그램 정보를 체크합니다.

 

이를 통해 특정 시점에서는 제휴 프로그램 정보가 추가적으로 포함된 경우 업데이트 창을 생성하여 다수의 수익성 프로그램의 설치를 유도할 수 있으므로 주의하시기 바랍니다.

이후 "C:\Program Files\ico\searchcon\searchcon.exe" 파일을 실행하여 서치콘(SearchCon) 광고 기능을 수행하는 바콘(Bacon) 정보를 체크하여 바탕 화면에 추가적인 바로가기 아이콘을 생성합니다.

 

[추가 생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\Desktop\11번가.lnk
C:\Users\(사용자 계정)\Desktop\섹시유머.lnk
C:\Users\(사용자 계정)\Desktop\옥션.lnk
C:\Users\(사용자 계정)\Desktop\지마켓.lnk

위와 같이 설치가 완료된 서치콘(SearchCon) 프로그램은 바탕 화면, 시작 메뉴, 즐겨찾기에 다수의 바로가기 아이콘을 추가하여 사용자가 해당 바로가기 아이콘을 통해 상품 구입, 프로그램 설치, 회원 가입 등을 유도할 수 있습니다.

프로그램 삭제는 제어판에 등록된 "searchcon" 삭제 항목을 통해 삭제할 수 있도록 지원하고 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer
 - searchcon_team = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Application Compatibility
 - srcn = (6자리 숫자)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchcon
HKEY_LOCAL_MACHINE\SOFTWARE\searchcon
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\searchconservice

지만 프로그램 삭제 후에도 시스템 시작시 서비스 동작이 정상적으로 실행되며 바로가기 아이콘이 삭제되지 않는 문제로 인하여 지속적인 수익 활동이 이루어집니다.

 

러므로 제어판을 통해 서치콘(SearchCon) 프로그램을 삭제한 후에는 다음과 같은 절차에 따라 추가적인 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "searchconservice"] 명령어를 입력 및 실행하여 서비스 레지스트리 값을 자동으로 삭제하시기 바랍니다.

(b) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\ico
  • C:\Program Files\ico\searchcon
  • C:\Program Files\ico\tmp
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\11번가바로가기.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\무료압축프로그램바로가기.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\섹시유머바로가기.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\옥션바로가기.lnk
  • C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\지마켓바로가기.lnk
  • C:\Users\(사용자 계정)\Desktop\11번가.lnk
  • C:\Users\(사용자 계정)\Desktop\섹시유머.lnk
  • C:\Users\(사용자 계정)\Desktop\옥션.lnk
  • C:\Users\(사용자 계정)\Desktop\지마켓.lnk
  • C:\Users\(사용자 계정)\Favorites\11번가.url
  • C:\Users\(사용자 계정)\Favorites\섹시유머.url
  • C:\Users\(사용자 계정)\Favorites\옥션.url
  • C:\Users\(사용자 계정)\Favorites\지마켓.url
  • C:\Windows\System32\searchcon-se.exe
  • C:\Windows\System32\searchconu.exe

서치콘(SearchCon) 바로가기 아이콘 생성 프로그램은 다양한 상업적 사이트에 대한 바로가기 아이콘을 생성하여 삭제되지 않고 지속적인 수익 활동이 이루어지고 있으며, 특정 시점에서는 사용자들이 원치않는 제휴 프로그램을 추가하여 설치를 유도할 수 있으므로 주의하시기 바랍니다.