본문 바로가기

벌새::Analysis

검색 도우미 : searchgoosg - SpeedUtil.exe

반응형

인터넷 검색시 열린 주소창 검색(dns3.ktguide.com) 결과와 다양한 광고창을 생성하는 검색 도우미 searchgoosg 프로그램<SHA-1 : f9b16398dca7dc6953436ecea81457e1df9a991a - AhnLab V3 : PUP/Win32.Helper (VT : 34/52)>에 대해 살펴보도록 하겠습니다.

해당 프로그램은 기존의 동일한 프로그램 이름(searchgoosg)을 가진 SearchGoo 시리즈의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\searchgoosg
C:\Program Files\searchgoosg\openwinsearch.exe
C:\Program Files\searchgoosg\searchgoosgdl.exe
C:\Program Files\searchgoosg\SpeedUtil.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\searchgoosg\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\searchgoosg\Uninstall.ini
C:\Program Files\searchgoosg\winopensearch.dll :: BHO 등록 파일
C:\Windows\System32\INETKO.DLL
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\searchgoosginst.exe
C:\Windows\System32\VB6KO.DLL
C:\Windows\System32\winservice.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\searchgoosg\searchgoosgdl.exe
 - SHA-1 : 18de5e8f5ac61530328da783b2a68b0425ed3f61
 - avast! : Win32:Downloader-UHH [PUP] (VT : 8/52)

 

C:\Program Files\searchgoosg\SpeedUtil.exe
 - SHA-1 : 7d02957902784cf6ef6be3e64f6e0ecb20d9ca77
 - ESET : a variant of Win32/AdWare.Kraddare.JP (VT : 32/52)

 

C:\Program Files\searchgoosg\winopensearch.dll
 - SHA-1 : 94009bc5c9cea35a51446b9d6e194e3b96b757cd
 - MSE : Trojan:Win32/Msidebar.C (VT : 8/52)

 

C:\Windows\System32\searchgoosginst.exe
 - SHA-1 : 22b95107e31f224ed8f0f2f07977e81bac907af5
 - Kaspersky : Trojan-Ransom.Win32.Blocker.eewi (VT : 34/52)

 

"OCEAN INC Co.,Ltd." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\searchgoosg" 폴더에 파일을 생성하며, Windows 시작시 "C:\Program Files\searchgoosg\SpeedUtil.exe" 파일을 시작 프로그램으로 등록하여 자동 실행하도록 구성되어 있습니다.

자동 실행되어 메모리에 상주하는 SpeedUtil.exe 파일은 특정 광고 서버(ad.syndiapi.com)에서 구성값 및 실행 카운터(Counter) 정보를 체크합니다.

프로그램이 설치된 환경에서 인터넷 검색을 통해 웹 사이트에 접속하는 과정에서 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고창을 메모리에 상주하는 SpeedUtil.exe 파일을 통해 자동 생성할 수 있습니다.

또한 SpeedUtil.exe 파일은 웹 사이트 접속 및 Internet Explorer 웹 브라우저 종료시 전체 화면 크기의 "ad.syndiapi.com" 광고창을 생성할 수 있습니다.

 

이름

 winopensearchpg.winopensearch

게시자

 OCEAN INC Co.,Ltd.

유형

 브라우저 도우미 개체

CLSID

 {9E903177-9E00-445B-86FD-4E013189E8A0}

파일

 C:\Program Files\searchgoosg\winopensearch.dll

 

searchgoosg 프로그램은 Internet Explorer 웹 브라우저 실행시 "winopensearchpg.winopensearch" 브라우저 도우미 개체(BHO)를 등록하여 "C:\Program Files\searchgoosg\winopensearch.dll" 파일을 실행합니다.

이를 통해 인터넷 검색시 검색 키워드 값을 이용하여 열린 주소창 검색(dns3.ktguide.com) 결과 페이지를 생성합니다.

이 과정에서 특정 IP 서버에 등록된 구성값 정보를 체크하며 추가적으로 등록된 파일이 존재할 경우 사용자 몰래 다운로드 및 실행되어 프로그램 설치가 이루어질 수 있으므로 주의하시기 바랍니다.

해당 광고 동작 중지 및 프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SpeedUtil.exe 프로세스를 찾아 종료하시기 바라며, Internet Explorer 웹 브라우저의 추가 기능 관리에 등록된 "winopensearchpg.winopensearch" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.

프로그램 삭제는 Internet Explorer 웹 브라우저 및 Windows 탐색기를 종료한 상태에서 제어판에 등록된 "searchgoosg" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\searchgoosg
  • C:\Program Files\searchgoosg\winopensearch.dll
[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - SpeedUtil = C:\Program Files\searchgoosg\SpeedUtil.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9E903177-9E00-445B-86FD-4E013189E8A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{84C8DFCD-19B8-44D6-AB20-F600DBBAFB4C}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{D5BFE2FE-3E9B-4E9E-AFE6-0F3B871AFDBF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\winopensearchpg.winopensearch
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{9E903177-9E00-445B-86FD-4E013189E8A0}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchgoosg
HKEY_LOCAL_MACHINE\SOFTWARE\winopensearch

 

searchgoosg 검색 도우미 프로그램은 인터넷 검색 수행시 원치않는 광고창 생성 동작으로 정상적인 PC 사용에 불편을 심하게 유발할 수 있으므로 프로그램이 설치된 경우에는 반드시 삭제하시기 바랍니다.

 

 
728x90
반응형