울지않는벌새 : Security, Movie & Society

검색 도우미 : searchgoo - searchgooys

벌새::Analysis

인터넷 검색시 "열린 주소창 검색(dns3.ktguide.com)" 및 추가적인 광고 팝업창 등을 생성할 수 있는 검색 도우미 searchgoo 변종 프로그램<MD5 : 49bbbf450d4d84571b5836361918e3e8 - MSE : Trojan:Win32/Msidebar.C (VT : 21/48)>에 대해 살펴보도록 하겠습니다.

 

  국내 악성코드 : searchgoo (2013.12.14)

 

  검색 도우미 : searchgoo - searchgooms (2013.12.17)

 

  검색 도우미 : searchgoo - searchgoohs (2013.12.18)

 

searchgoo 검색 도우미 프로그램은 프로그램 이름은 동일하지만 다양한 폴더와 파일로 구성된 변종 프로그램이 유포되고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\searchgooys
C:\Program Files\searchgooys\searchgoo.dll :: BHO 등록 파일
C:\Program Files\searchgooys\searchgoo.exe :: 메모리 상주 프로세스
C:\Program Files\searchgooys\searchgoodl.exe
C:\Program Files\searchgooys\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\searchgooys\Uninstall.ini
C:\Program Files\searchgooys\winsearch.exe :: 메모리 상주 프로세스
C:\WINDOWS\system32\INETKO.DLL
C:\WINDOWS\system32\MSINET.OCX
C:\WINDOWS\system32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\searchgooys\searchgoo.dll
 - MD5 : 1f49eeb253b72b9a7abfaa7b7983ba5a
 - avast! : Win32:Downloader-UHH [PUP] (VT : 13/48)

 

C:\Program Files\searchgooys\searchgoo.exe
 - MD5 : 0e2f2321c658eb04b4492b8502c6b7f1
 - avast! : Win32:Downloader-UHH [PUP] (VT : 5/48)

 

C:\Program Files\searchgooys\searchgoodl.exe
 - MD5 : 1631403520203d75f915b9122872a00d
 - ESET : a variant of Win32/Msidebar.B (VT : 11/48)

 

C:\Program Files\searchgooys\Uninstall.exe
 - MD5 : 787571e7f7220b2649a673f17a4962fb
 - nProtect : Adware/W32.Agent.57388 (VT : 3/47)

 

C:\Program Files\searchgooys\winsearch.exe
 - MD5 : aa729d62b95283ce0acc1bf6f88553fa
 - AhnLab V3 : PUP/Win32.Helper (VT : 4/48)

해당 프로그램은 "C:\Program Files\searchgooys" 폴더에 파일을 생성하며, 프로그램이 설치된 이후 Internet Explorer 웹 브라우저를 실행할 경우 브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files\searchgooys\searchgoo.dll" 파일을 통해 다음과 같은 추가적인 동작을 수행합니다.

  • h**p://121.78.93.46/~serviceitem/searchgoo2/searchgoo6.html

특정 IP 서버에서 정보를 체크하여 광고 구성값 및 추가적인 파일이 등록되어 있는 경우 자동으로 다운로드 및 실행할 수 있습니다.

이를 통해 특정 시점에서는 사용자가 Internet Explorer 웹 브라우저 실행을 통해 searchgoo.exe, winsearch.exe 파일을 자동 실행되도록 할 수 있습니다.

 

1. "C:\Program Files\searchgooys\searchgoo.exe" 파일 기능

Internet Explorer 웹 브라우저 실행시 체크되는 값을 통해 "C:\Program Files\searchgooys\searchgoo.exe" 파일이 자동 실행될 경우, 시스템 트레이 알림 아이콘 상단에 팝업창 생성을 통한 광고 동작을 수행할 수 있습니다.

 

2. "C:\Program Files\searchgooys\winsearch.exe" 파일 기능

Internet Explorer 웹 브라우저 실행시 체크되는 값을 통해 "C:\Program Files\searchgooys\winsearch.exe" 파일이 자동 실행될 경우, 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 "cl.ncclick.co.kr" 제휴 코드를 추가한 광고창이 전체 화면 크기로 생성되는 동작을 확인할 수 있습니다.

 

3. "C:\Program Files\searchgooys\searchgoo.dll" 파일 기능

브라우저 도우미 개체(BHO)로 등록된 "C:\Program Files\searchgooys\searchgoo.dll" 파일은 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 검색을 시도할 경우 "열린 주소창 검색(dns3.ktguide.com)"으로 연결이 이루어집니다.

또한 인터넷 검색 서비스를 이용하여 검색을 시도할 경우 자동으로 "열린 주소창 검색(dns3.ktguide.com)" 결과창이 생성되는 동작을 수행합니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : searchgoopg.searchgoo

게시자 : OCEAN INC Co.,Ltd.

유형 : 브라우저 도우미 개체

CLSID : {E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}

파일 : C:\Program Files\searchgooys\searchgoo.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\searchgooys\searchgoo.dll" 파일을 브라우저 도우미 개체(BHO)로 등록하여 이루어지므로, 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "searchgoopg.searchgoo" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

 

4. 프로그램 삭제 방법

프로그램 삭제를 위해서는 Windows 작업 관리자를 실행하여 searchgoo.exe, winsearch.exe 2개의 프로세스가 존재할 경우 종료하시기 바랍니다.

그 후 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "searchgoo" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 다음의 폴더(파일)를 찾아 추가적으로 삭제하시기 바랍니다.

  • C:\Program Files\searchgooys
  • C:\Program Files\searchgooys\searchgoo.dll
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5BE58236-EA1E-496B-A223-0EABC88FE244}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchgoopg.searchgoo
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1701336A-D596-4035-9CC3-32B790CA1322}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - searchgoo = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{E1D5F701-9E1A-4DA9-B190-1E8BDA7EB528}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchgoo
HKEY_LOCAL_MACHINE\SOFTWARE\searchgoo

 

searchgoo 검색 도우미 프로그램은 다양한 폴더와 파일 구성을 가진 변종 프로그램이 지속적으로 발견되고 있으며, 프로그램 설치로 인해 원치 않는 광고창이 생성되어 인터넷 사용에 불편을 유발하고 있으므로 주의하시기 바랍니다.