본문 바로가기

벌새::Analysis

winsearch2.dll 오류창을 생성하는 quickad 광고 프로그램 주의 (2014.2.7)

특정 검색 키워드를 이용하여 인터넷 검색시 자동으로 광고창을 생성하는 quickad 검색 도우미 프로그램<SHA-1 : 6f5725ac94c4912176d69bb6d610451686828907 - nProtect : Adware/W32.KrAdword.352691 (VT : 36/50)>이 최근 광고창 생성시 "quickadmgr" 오류창을 무한 생성하는 문제를 유발하는 이슈가 발생하고 있습니다.

 

  검색 도우미 : quickad (2013.11.6)

 

기존에 작성한 quickad 프로그램 분석 내용과 비교하여 프로그램이 설치된 환경에서 Windows 부팅시마다 자동으로 추가적인 파일을 다운로드하며, 이를 통해 생성된 "C:\Program Files\quickad\winsearch2.dll" 모듈이 광고창이 활성화된 환경에서 오류가 발생하는 것으로 파악되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\quickad
C:\Program Files\quickad\quickad.exe
C:\Program Files\quickad\quickadmgr.exe :: 메모리 상주 프로세스
C:\Program Files\quickad\quickadsvc.exe :: 서비스(quickadsvc) 등록 파일
C:\Program Files\quickad\quickadt.exe :: 메모리 상주 프로세스
C:\Program Files\quickad\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\quickad\winsearch2.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\quickad\quickad.exe
 - SHA-1 : 061711ab1cbab13fe2f1db4df477c2d8924a28ed
 - BitDefender : Gen:Variant.Adware.Symmi.33070 (VT : 28/49)

 

C:\Program Files\quickad\quickadmgr.exe
 - SHA-1 : f50899a6e6a760ba240b74297f21b8cf2e1d0274
 - AhnLab V3 : PUP/Win32.Quickad (VT : 25/50)

 

C:\Program Files\quickad\quickadsvc.exe
 - SHA-1 : 130439819a32d8251faca10eefc753cbcb6256a3
 - nProtect : Adware/W32.Agent.100736.B (VT : 20/49)

 

C:\Program Files\quickad\quickadt.exe
 - SHA-1 : 710f6979c58f6df3ad778e682c07d69f41579a4c
 - AhnLab V3 : PUP/Win32.WBPatch (VT : 31/50)

 

C:\Program Files\quickad\Uninstall.exe
 - SHA-1 : b2b0bbce5010703d80ef32bcc644140bc5a84db4
 - nProtect : Adware/W32.Agent1.129144 (VT : 2/50)

quickad 검색 도우미 프로그램이 설치되는 과정에서는 "C:\Program Files\quickad\quickad.exe" 파일 실행을 통해 특정 업데이트 서버에서 서비스(blueadvsvc, goodadsvc, bgasvc, gadsvc, subinfo2svc, winfo2svc, metaadsvc, quickadsvc, testadsvc) 정보를 체크하여 다음과 같은 2개의 파일의 최신 버전을 다운로드하여 업데이트합니다.

 

  • h**p://voa.**update.kr/update_svc/quickadmgr.exe (SHA-1 : f50899a6e6a760ba240b74297f21b8cf2e1d0274) - AhnLab V3 : PUP/Win32.Quickad (VT : 25/50)
  • h**p://voa.**update.kr/update_svc/quickadsvc.exe (SHA-1 : 130439819a32d8251faca10eefc753cbcb6256a3) - nProtect : Adware/W32.Agent.100736.B (VT : 20/49)

설치된 quickad 프로그램은 "quickadsvc (표시 이름 : quickad)" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\quickad\quickadsvc.exe" 파일을 자동 실행하며, 이를 통해 "C:\Program Files\quickad\quickadmgr.exe" 파일을 추가 로딩합니다.

자동 실행된 "C:\Program Files\quickad\quickadmgr.exe" 파일은 업데이트 서버에서 "윈서치, 타임애드"로 등록된 파일 정보를 받아와 Windows 부팅시마다 자동으로 추가 다운로드하여 다음과 같은 파일을 생성할 수 있습니다.

 

  • C:\Program Files\quickad\quickadt.exe
  • C:\Program Files\quickad\winsearch2.dll (SHA-1 : d9902a4e8ce31025ea6f341761294b3b908f5e41)

이렇게 설치된 quickad 검색 도우미 프로그램은 사용자가 Internet Explorer 웹 브라우저를 실행시 광고 구성값 정보를 체크하며, 사용자가 인터넷 검색시 백그라운드 방식으로 Daum & Nate 검색을 시도하며 특정 검색 키워드 값일 경우에는 다음과 같이 자동으로 광고창을 생성할 수 있습니다.

해당 동작까지는 이전 분석과 동일한 방식인데 메모리에 상주하는 "C:\Program Files\quickad\quickadmgr.exe" 프로세스에 추가된 "C:\Program Files\quickad\winsearch2.dll" 모듈로 인하여 사용자가 생성된 광고창을 활성화하는 경우 다음과 같은 오류창이 무한 생성될 수 있습니다.

Access violation at address 01F21166 in module 'winsearch2.dll'. Read of address 00000000.

quickadmgr 메시지 창을 통해 무한 생성되는 오류창은 사용자가 광고창을 활성화한 경우에만 생성이 발생하는 것으로 판단됩니다.

quickad 검색 도우미 프로그램이 설치된 환경에서는 Windows 부팅을 통해 자동으로 quickadsvc.exe, quickadmgr.exe, quickadt.exe 3개의 프로세스가 메모리에 상주하므로, 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "quickadsvc"] 명령어를 입력 및 실행하여 quickadsvc.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 quickadmgr.exe, quickadt.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 제어판에 등록된 "quickad" 삭제 항목을 이용하여 프로그램 삭제를 진행하시기 바랍니다.

 

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 키값이 존재할 경우 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software
 - WinSearch = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\quickad
HKEY_LOCAL_MACHINE\SOFTWARE\quickad
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\quickadsvc

 

일부 광고 프로그램은 품질 문제로 인하여 동작시 사용자에게 심각한 불편을 유발하는 오류가 발생할 수 있으므로 해당 문제로 고생하시는 분들은 반드시 프로그램을 찾아 삭제하시기 바랍니다.