본문 바로가기

벌새::Analysis

검색 도우미 : 곰Helper + 확장검색서비스

반응형

블로그 유입 경로를 살펴보다보면 "daum.linkprice.com" 주소를 통해 유입이 들어올 때가 있으며, 최근 블로그를 방문하신 분이 인터넷 검색시 "Smart 검색"으로 연결된다는 문제에 대해 문의해 주셔서 해당 원인에 대해 조사를 해 보았습니다.

결론적으로 해당 문제는 그래텍(Gretech) 업체에서 서비스하는 곰플레이어(GomPlayer) 동영상 재생 프로그램에 추가된 제휴 프로그램 중 "곰Helper 설치"로 인하여 발생하는 것으로 확인되고 있습니다.

곰플레이어(GomPlayer) 프로그램의 구성 요소 중 "곰Helper 설치"는 사용자가 설치를 해제할 수 있으며 기본값에서는 체크된 상태로 배포되고 있습니다.

 

또한 곰Helper 프로그램을 설치할 경우에는 곰Helper(주소창 검색 서비스 : GOMTV와 링크프라이스(LinkPrice)가 제공하는 웹 브라우저 주소 표시줄의 검색 공급자를 변경하여 "Smart 검색" 결과를 표시해 주는 소프트웨어)와 확장 검색 서비스(웹 브라우저 상단에 검색 키워드를 참조하여 맞춤 콘텐츠 광고바를 생성하는 소프트웨어) 기능을 제공하는 2종의 프로그램이 함께 설치되도록 되어 있습니다.

곰Helper 설치가 이루어진 환경에서는 "C:\Program Files\GRETECH\GomHelper" 폴더 내부에 곰Helper와 확장 검색 서비스 관련 파일이 함께 설치됩니다.

 

1. "곰Helper" 정보

곰Helper 프로그램은 "GomHelper Update Services" 서비스 항목을 등록하여 시스템 시작시 "C:\Program Files\GRETECH\GomHelper\GomHelperSvc.exe" 파일을 자동 실행 및 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저를 최초 실행시 기본 검색 공급자를 "GRETECH(gsp.gomtv.com)"으로 변경할 것인지 물으며, 변경한 경우에는 웹 브라우저 주소 표시줄에 검색어를 입력할 경우 "gsp.gomtv.com/rd?version=110&sid=0&bypass=1&keyword=={searchTerms}" 주소로 검색이 이루어집니다.

실제 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력할 경우 "Smart 검색(daum.linkprice.com)"으로 연결되거나 특정 웹 사이트로 바로 연결되는 것을 확인할 수 있습니다.

 

2. "확장 검색 서비스" 정보

확장 검색 서비스 프로그램은 "GomService (표시 이름 : Gom Search Service)" 서비스 항목을 등록하여 시스템 시작시 [C:\Program Files\GRETECH\GomHelper\gomsearch.exe /service] 파일을 자동 실행하도록 구성되어 있으며, 이를 통해 업데이트 체크 후 gomsearch.exe 파일을 메모리에 상주하도록 구성되어 있습니다.

프로그램이 설치된 환경에서는 사용자가 인터넷 검색을 통해 웹 사이트에 접속시 Internet Explorer 웹 브라우저 상단에 검색 키워드 값을 참조한 추천 정보 광고바가 생성되도록 구성되어 있습니다.

 

3. "곰Helper + 확장 검색 서비스" 프로그램의 공통 사항

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

 

이름 : GomHelper

게시자 : GRETECH

유형 : 브라우저 도우미 개체

CLSID : {375A6AB2-FEEC-445D-B853-2139FB561F80}

파일 : C:\Program Files\GRETECH\GomHelper\gomsearch.dll

 

이름 : 확장검색서비스

게시자 : GRETECH

유형 : 브라우저 도우미 개체

CLSID : {A14EAA16-CA35-4666-845A-DC084DCDF356}

파일 : C:\Program Files\GRETECH\GomHelper\GomHelper.dll

 

곰Helper와 확장 검색 서비스 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저에서 광고 기능 수행을 목적으로 GomHelper, 확장검색서비스 항목을 브라우저 도우미 개체(BHO)로 등록합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1

그런데 프로그램 설치 과정에서 "IgnoreFrameApprovalCheck" 값을 추가하여 Windows 기본 정책값을 변경하는 동작이 있습니다.

 

  Internet Explorer 추가 기능 알림을 우회하는 국내 광고 프로그램 사례 (2013.11.15)

 

해당 레지스트리 등록값을 이전에도 소개한 브라우저 도우미 개체(BHO)로 등록시 Internet Explorer 9 버전 및 상위 버전에서 사용자에게 반드시 등록 여부를 표시하도록 생성되는 노란색 알림바를 노출하지 않고 자동으로 등록하도록 하려는 목적입니다.

 

그러므로 곰Helper 프로그램 설치로 인하여 사용자의 사용 결정 의사와 관계없이 2가지 광고 기능이 필수적으로 Internet Explorer 웹 브라우저 사용시 기본적으로 동작하게 된다고 할 수 있습니다.

 

4. 프로그램 삭제 방법

곰Helper와 확장 검색 서비스 프로그램이 설치된 환경에서는 GomHelperSvc.exe, gomsearch.exe 2개의 프로세스가 메모리에 상주하도록 구성되어 있으므로 다음과 같은 절차에 따라 프로그램 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc stop "GomHelper Update Services"] 명령어를 입력 및 실행하여 GomHelperSvc.exe 프로세스를 자동 종료하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 gomsearch.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) 제어판에 등록된 "곰Helper 제거", "확장검색서비스" 2개의 삭제 항목을 이용하여 프로그램을 삭제하시기 바랍니다.

 

[생성 / 변경된 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\GomHelper
HKEY_CURRENT_USER\Software\GRETECH\GomHelper
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
 - DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A} :: 변경 전(기본값)
 - DefaultScope = {13F8A7E6-2EDE-4bf5-BF99-939A6CAAA637} :: 변경 후
 - DoNotAskAgain = bing.com :: 추가 생성
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{13F8A7E6-2EDE-4bf5-BF99-939A6CAAA637}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Ext
 - IgnoreFrameApprovalCheck = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{375A6AB2-FEEC-445D-B853-2139FB561F80}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A14EAA16-CA35-4666-845A-DC084DCDF356}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GomAddress.Gom
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GomAddress.Gom.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{22ECC767-D899-4379-AAF3-487CD6F8CC34}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{5A5B01B7-229A-4E33-8A08-8B68573B8EA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{05B0C6DE-7955-4D09-B356-8B9182BAEECB}
HKEY_LOCAL_MACHINE\SOFTWARE\GRETECH\GomHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{375A6AB2-FEEC-445D-B853-2139FB561F80}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A14EAA16-CA35-4666-845A-DC084DCDF356}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\GomHelper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\확장검색서비스
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\GomHelper Update Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\GomService
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules
 - {0BA80AE4-B6FF-4BC2-9E29-B999A3C2C451} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\GRETECH\GomHelper\GomHelperCmd.exe|

Name=GomHelperCmd.exe|
 - {76A50A4D-EA79-420A-A2C0-357E4E1FBE33} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\GRETECH\GomHelper\GomHelperUp.exe|

Name=GomHelperUp.exe|
 - {867A4DB0-6A70-4CDB-A18A-196120900FCB} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\GRETECH\GomHelper

\GomHelperUpdate.exe|Name=GomHelperUpdate.exe|
 - {DF2F773D-0588-47D3-86BB-61B3D9A44BDC} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=6|Profile=Private|App=C:\Program Files\GRETECH\GomHelper

\GomHelperUpdate.exe|Name=GomHelperUpdate.exe|
 - {F5E64F59-9C84-43A9-B5C2-67FB8E605AAB} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\GRETECH\GomHelper

\GomHelperCmd.exe|Name=GomHelperCmd.exe|
 - {FC8E4807-E3BF-4C18-9FEA-66C682CBC509} = v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|Profile=Private|App=C:\Program Files\GRETECH\GomHelper\GomHelperUp.exe|

Name=GomHelperUp.exe|

제어판을 통해 정상적으로 프로그램을 삭제한 후에는 변경된 기본 검색 공급자까지 이전 상태로 변경하는 꼼꼼함을 보여주고 있지만, 프로그램 설치 과정에서 한 개의 설치 구성 요소(곰Helper)를 통해 2개로 분리된 프로그램으로 설치된 점은 사용자에게 혼동을 유발할 수 있습니다.

 

또한 브라우저 도우미 개체(BHO) 등록을 사용자의 선택을 묻는 않는 변칙적인 정책은 악성 광고 프로그램에서도 잘 발견되지 않는 방식이라고 판단됩니다.

 

그러므로 곰플레이어(GomPlayer) 사용자는 프로그램 설치시 추가로 설치될 수 있는 제휴 프로그램을 잘 확인하여 원치않는 경우에는 체크 해제를 하시고 이용하시기 바랍니다.

728x90
반응형