울지않는벌새 : Security, Movie & Society

검색 도우미 : searchrun

벌새::Analysis

인터넷 검색시 사용자 몰래 "열린 주소창 검색(dns3.ktguide.com)" 서비스를 경유하여 광고창을 생성하는 국내에서 제작된 searchrun 광고 프로그램<SHA-1 : 3edf3e43ca757e45aeb5491182e8de0982ceab55 - avast! : Win32:VB-ACAG [Trj] (VT : 30/56)>에 대해 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\searchrun
C:\Program Files\searchrun\searchrun.exe :: 시작 프로그램(searchrun) 등록 파일, 메모리 상주 프로세스
C:\Program Files\searchrun\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\searchrun\Uninstall.ini
C:\Program Files\searchrun\upSearchRun.exe :: 시작 프로그램(upsearchrun) 등록 파일
C:\Windows\System32\INETKO.DLL
C:\Windows\System32\MSINET.OCX
C:\Windows\System32\VB6KO.DLL

 

[생성 파일 진단 정보]

 

C:\Program Files\searchrun\searchrun.exe
 - SHA-1 : 96dd25699df8d88a84b199424d2d6c1c5c57322e
 - 알약(ALYac) : Gen:Variant.Graftor.205202 (VT : 20/56)

 

C:\Program Files\searchrun\upSearchRun.exe
 - SHA-1 : e8d93d2af603b60531c5961d5601b811c653604e
 - AhnLab V3 365 Clinic : PUP/Win32.Agent.C863207 (VT : 3/56)

"sonakbee Co., Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Program Files\searchrun" 폴더에 파일을 생성합니다.

  • 시작 프로그램(searchrun) : C:\Program Files\searchrun\searchrun.exe
  • 시작 프로그램(upsearchrun) : C:\Program Files\searchrun\upsearchrun.exe

Windows 시작시 searchrun, upsearchrun 2개의 시작 프로그램 등록값을 통해 각각의 파일을 자동 실행하도록 구성되어 있습니다.

자동 실행된 "C:\Program Files\searchrun\upsearchrun.exe" 파일은 특정 IP 서버에서 구성값을 체크한 후 자동 종료 처리되며, 추가적인 파일이 존재할 경우 다운로드를 통해 추가적인 광고 프로그램 설치가 가능합니다.

또한 자동 실행된 "C:\Program Files\searchrun\searchrun.exe" 파일은 특정 IP 서버에서 광고 구성값 정보를 체크한 후 메모리에 상주하여 다음과 같은 광고 행위를 수행할 수 있습니다.

대표적인 광고 행위를 살펴보면 포털, 특정 대형 인터넷 쇼핑몰에서 인터넷 검색을 시도할 경우 검색 키워드 값을 화면상에는 표시되지 않는 "열린 주소창 검색(dns3.ktguide.com)" 서버에 전송하여 특정 제휴 코드가 포함된 형태로 광고창을 생성합니다.

참고로 열린주소창(dns3.ktguide.com) 부분을 확인해보면 검색 키워드 값을 통해 노출되는 검색 결과 중 특정 제휴 코드가 포함된 형태로 자동으로 관련 사이트로 이동하는 구조로 파악되고 있습니다.

 

searchrun 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 searchrun.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchrun 삭제 항목을 이용하여 프로그램 삭제를 진행할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
 - searchrun = 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchrun = C:\Program Files\searchrun\searchrun.exe
 - upsearchrun = C:\Program Files\searchrun\upsearchrun.exe
HKEY_CURRENT_USER\Software\searchrun
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
searchrun

 

searchrun 광고 프로그램이 설치된 경우 인터넷 검색시마다 다양한 광고창 생성 및 특정 검색 서비스로 자동 연결되어 불필요한 트래픽을 유발하므로 설치되지 않도록 주의하시기 바랍니다.