본문 바로가기

벌새::Analysis

검색 도우미 : SearchClick

반응형

즐겨찾기, 바탕 화면, 시작 메뉴에 11번가 바로가기 아이콘을 생성하며, 특정 인터넷 쇼핑몰 접속시 제휴 코드를 추가하는 검색 도우미 SearchClick 프로그램(SHA-1 : 989c2515cfe88c5722c7c21c0b0216981e3097d6)에 대해 살펴보도록 하겠습니다.

 

참고로 배포 파일이 실행되면 "C:\Program Files\SearchClick\SearchClickInstall.exe" 파일(SHA-1 : ddd18f05af7b0a6b34f4aef90f5b54598f43ca89)을 생성하여 프로그램 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SearchClick
C:\Program Files\SearchClick\SearchClick.dll :: BHO 등록 파일
C:\Program Files\SearchClick\searchclick.ico
C:\Program Files\SearchClick\SearchClickDemon.exe :: 메모리 상주 프로세스
C:\Program Files\SearchClick\SearchClickInstall.exe
C:\Program Files\SearchClick\SearchClickMain.exe :: 시작 프로그램 등록 파일
C:\Program Files\SearchClick\SearchClickService.exe :: 서비스(SearchClick) 등록 파일
C:\Program Files\SearchClick\SearchClickUninstall.exe :: 프로그램 삭제 파일
C:\ProgramData\Microsoft\Windows\Start Menu\11번가 바로가기.url
C:\Users\(사용자 계정)\Desktop\11번가 바로가기.url
C:\Users\(사용자 계정)\Favorites\11번가 바로가기.url
C:\Windows\System32\msvcr110.dll

"FAMOUS SOLUTION Co.LTD,,," 디지털 서명이 포함된 SearchClick 프로그램은 "C:\Program Files\SearchClick" 폴더에 주요 파일을 생성합니다.

설치된 프로그램은 "SearchClick" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\SearchClick\SearchClickService.exe" 파일(SHA-1 : 0677af6a0af47a08194b3039414583e96f67c965)을 자동 실행하여 프로그램 모듈 업데이트 정보를 체크한 후 자동 중지 처리됩니다.

또한 Windows 시작시 "C:\Program Files\SearchClick\SearchClickMain.exe" 파일(SHA-1 : 47d957a8de5d0907d3cdad896c1c6ea7d11fb15e)을 시작 프로그램으로 등록하여 자동 실행되어 특정 서버에 사용자 Mac Address, IP, 운영 체제 종류, 화면 해상도, Internet Explorer 웹 브라우저 버전 등의 정보를 전송하여 프로그램 실행을 체크한 후, "C:\Program Files\SearchClick\SearchClickDemon.exe" 파일(SHA-1 : 46cadced77f67becd27ed739c10fc2c80966d895)을 메모리에 상주시킵니다.

프로그램이 설치된 환경에서는 즐겨찾기, 바탕 화면, 시작 메뉴 영역에 "11번가 바로가기" 아이콘을 생성하여 접속을 유도하고 있습니다.

또한 사용자가 인터넷 쇼핑몰(11번가, G마켓, 옥션, 이마트)에 접속하여 특정 웹 페이지에 접속할 경우 "click.linkprice.com" 제휴 코드를 추가하는 방식으로 수익 활동을 할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : SearchClick

게시자 : FAMOUS SOLUTION Co.LTD,,,

유형 : 브라우저 도우미 개체

CLSID : {3C05D935-A3CF-4B48-8126-180B1C745D84}

파일 : C:\Program Files\SearchClick\SearchClick.dll

 

해당 광고 동작은 Internet Explorer 웹 브라우저 실행시 "C:\Program Files\SearchClick\SearchClick.dll" 파일(SHA-1 : 344cfee4d1730ecddfe27412f9e87ee159d8dc6e)을 브라우저 도우미 개체(BHO)로 등록하여 사용자가 접속하는 웹 사이트를 모니터링하여 제휴 코드를 추가하고 있습니다.

 

그러므로 광고 동작 중지 및 프로그램 삭제시에는 웹 브라우저의 추가 기능 관리에 등록된 "SearchClick" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

또한 Windows 작업 관리자를 실행하여 메모리에 상주하는 SearchClickDemon.exe 프로세스를 찾아 종료하시기 바랍니다.

프로그램 삭제는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "SearchClick" 삭제 항목을 이용하여 삭제하시기 바라며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\SearchClick
  • C:\Program Files\SearchClick\searchclick.ico
  • C:\ProgramData\Microsoft\Windows\Start Menu\11번가 바로가기.url
  • C:\Users\(사용자 계정)\Desktop\11번가 바로가기.url
  • C:\Users\(사용자 계정)\Favorites\11번가 바로가기.url
[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3C05D935-A3CF-4B48-8126-180B1C745D84}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{F2E540D6-A07C-46AE-903B-DA7E907ADAD1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchClick
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SearchClick.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{29B2296B-83FF-4306-915E-B2E00721488B}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{3C05D935-A3CF-4B48-8126-180B1C745D84}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - SearchClick = "C:\Program Files\SearchClick\SearchClickMain.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
SearchClick
HKEY_LOCAL_MACHINE\SOFTWARE\SearchClick
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SearchClick

 

SearchClick 프로그램은 프로그램 삭제 이후에도 "11번가 바로가기" 아이콘을 삭제하지 않도록 제작되어 있으며, 프로그램이 설치된 후에도 외형적으로 광고창 생성을 통해 수익 활동이 이루어지지 않기 때문에 쉽게 확인이 불가능할 수 있습니다.

728x90
반응형