검색 도우미 : searchgoo - mswinsearch

인터넷 검색시 열린 주소창 검색(dns3.ktguide.com) 연결 및 추가적인 광고창 생성 기능을 가진 SearchGoo 검색 도우미 시리즈의 변종 프로그램으로 확인되고 있는 "searchgoo - mswinsearch" 프로그램에 대해 살펴보도록 하겠습니다.

• 국내 악성코드 : searchgoo (2013.12.14)

• 검색 도우미 : searchgoo - searchgooms (2013.12.17)

• 검색 도우미 : searchgoo - searchgoohs (2013.12.18)

• 검색 도우미 : searchgoo - searchgooys (2013.12.29)

• 검색 도우미 : searchgoo - searchgoosg (2014.2.23)

• 검색 도우미 : searchgoosg - SpeedUtil.exe (2014.5.1)

SearchGoo 광고 프로그램은 2013년 연말경부터 다양한 형태로 발견되고 있었으므로 참고하시기 바랍니다.

이번에 살펴볼 변종 프로그램<SHA-1 : 99096d75eee1edf8b709e3e663a285901fa210d9 - AhnLab V3 : PUP/Win32.Toolbar.C310387 (VT : 36/53)>은 2014년 4월 20일경부터 유포가 시작된 것으로 보이며, 현재는 정상적으로 동작하지 않는 프로그램으로 확인되고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\mswinsearch
C:\Program Files\mswinsearch\mswindl.exe
C:\Program Files\mswinsearch\mswinsearch.dll :: BHO 등록 파일
C:\Program Files\mswinsearch\searchad.exe
C:\Program Files\mswinsearch\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\mswinsearch\Uninstall.ini
C:\Windows\System32\winservice.dll

 

[생성 파일 진단 정보]

 

C:\Program Files\mswinsearch\mswindl.exe
 - SHA-1 : fd98b643a907d4d1b54482b90935b9e5cdf6f0b8
 - BitDefender : Trojan.Generic.11218038 (VT : 21/39)

 

C:\Program Files\mswinsearch\mswinsearch.dll
 - SHA-1 : 70bbbded6f3d044cf2bae0b9cbeea0164ba9e721
 - MSE : Trojan:Win32/Msidebar.C (VT : 24/53)

 

C:\Windows\System32\winservice.dll
 - SHA-1 : d1a92240cbdd7310d67936e663080b414cb7fb14
 - BitDefender : Trojan.Generic.11477408 (VT : 13/52)

해당 프로그램은 "C:\Program Files\mswinsearch" 폴더와 시스템 폴더 내에 파일을 생성합니다.

 

이름	mswinsearchpg.mswinsearch
게시자	OCEAN INC Co.,Ltd.
유형	브라우저 도우미 개체
CLSID	{32C2C028-07CB-4DA4-A923-8C2E6378660E}
파일	C:\Program Files\mswinsearch\mswinsearch.dll

 

프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저 실행시 "mswinsearchpg.mswinsearch" 브라우저 도우미 개체(BHO) 항목을 추가하여 광고 및 파일 다운로드 기능을 수행할 수 있는 "C:\Program Files\mswinsearch\mswinsearch.dll" 파일을 로딩합니다.

• h**p://121.**.93.**/down/winadup.exe (SHA-1 : 6faa4822bd2a4609ce0246ac3c915e7ca86fb308) - AhnLab V3 : PUP/Win32.Helper.C435974 (VT : 12/52)

mswinsearch.dll 파일은 특정 IP 서버에서 구성값 정보를 체크하며 이를 통해 SearchGoo 광고 프로그램과 유사한 기능을 가진 winopenhelp 프로그램을 사용자 몰래 다운로드 및 설치(C:\Program Files\winopenhelp)할 수 있습니다.

 

또한 인터넷 검색시 검색 키워드 값을 참조하여 열린 주소창 검색(dns3.ktguide.com) 결과로 연결될 수 있습니다.

테스트에서는 정상적으로 등록되지 않지만 시스템 시작시 "C:\Program Files\mswinsearch\searchad.exe" 파일(SHA-1 : 457f9d41298105b83f5f65e0894087ea2b6b5c7e)을 시작 프로그램으로 등록하여 자동 실행될 경우, "C:\Windows\System32\winservice.dll" 파일을 로딩하여 특정 광고 서버에서 받아온 검색 키워드 값을 이용하여 백그라운드 방식으로 검색을 시도할 수 있을 것으로 추정됩니다.

 

그 외에도 인터넷 검색 및 웹 사이트 접속 과정에서 "cl.ncclick.co.kr" 제휴 코드가 포함된 광고창 생성 행위가 있을 수 있습니다.

프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "searchgoo" 삭제 항목을 이용하여 삭제할 수 있으며, 프로그램 삭제 후에는 추가적으로 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.

• C:\Program Files\mswinsearch
• C:\Program Files\mswinsearch\mswinsearch.dll

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {32C2C028-07CB-4DA4-A923-8C2E6378660E}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\
{32C2C028-07CB-4DA4-A923-8C2E6378660E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32C2C028-07CB-4DA4-A923-8C2E6378660E}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{C4FF7CE5-B1D4-480F-B18F-0B9FAC96CE0A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mswinsearchpg.mswinsearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{B154B1C4-AFE1-4D0A-ABE3-DB2CC7FAE8DD}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{32C2C028-07CB-4DA4-A923-8C2E6378660E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchgoo

 

searchgoo 광고 프로그램은 동일한 이름으로 다양한 변종이 존재하며 업데이트 기능을 통해 유사한 기능을 가진 또 다른 광고 프로그램을 자동으로 설치할 수 있으므로 주의하시기 바랍니다.

 

[관련글 보기]

 

☞ <2011년~2012년 관련 정보> 검색 도우미 : Winsearch (2012.12.27) 외 20종

 

☞ <2013년 관련 정보> 검색 도우미 : searchgoo - searchgooys (2013.12.29) 외 14종

 

☞ 이슈와이드 사이드바를 생성하는 issuewidebar 정보 (2014.4.21)

 

☞ 파일 다운로드 기능을 가진 "winiesearch 1.00" 프로그램 주의 (2014.4.25)