본문 바로가기

벌새::Analysis

검색 도우미 : cleversearchgt

728x90
반응형

인터넷 검색 키워드 값을 감시하여 "열린 주소창 검색(dns.ktguide.com)"으로 연결을 시도할 수 있는 국내에서 제작된 cleversearchgt 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 2012년 11월경부터 배포가 이루어졌던 것으로 보이며, 유사한 기능을 가진 다양한 변종이 발견되고 있으므로 참고하시기 바랍니다.

 

설치 과정을 살펴보면 배포 파일<SHA-1 : 3766072a1d722515f86f015f7862bdaeb5692df0 - Microsoft : Trojan:Win32/Msidebar.C (VT : 37/56)> 실행을 통해 "C:\Program Files\cleversearchgt\installwin.exe" 파일<SHA-1 : 422e547a1052e814710c46b8b036b2fc0912dc93 - avast! : Win32:Malware-gen (VT : 22/55)>을 임시 생성하여 프로그램 설치 후 자동 삭제 처리되도록 구성되어 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\cleversearchgt
C:\Program Files\cleversearchgt\cleversearchgt.dll :: BHO 등록 파일
C:\Program Files\cleversearchgt\cleversearchgtdl.exe
C:\Program Files\cleversearchgt\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\cleversearchgt\Uninstall.ini

 

[생성 파일 진단 정보]

 

C:\Program Files\cleversearchgt\cleversearchgt.dll
 - SHA-1 : aef1738e437cb954716f44202eff59940c012648
 - 알약(ALYac) : Trojan.Generic.8583830 (VT : 30/55)

 

C:\Program Files\cleversearchgt\cleversearchgtdl.exe
 - SHA-1 : c1c6334d255d116b5c70fa91977a41caf7d41d05
 - Malwarebytes : Adware.WinAgir.K (VT : 10/56)

해당 광고 프로그램은 "C:\Program Files\cleversearchgt" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저 동작시 BHO 등록 파일을 통해 광고 행위를 수행하도록 제작되어 있습니다.

 

이름

 cleversearchgtcfg.cleversearchgt

게시자

 cleversearchgt

유형

 브라우저 도우미 개체

CLSID

 {C41F67A9-9B0C-499A-9599-9AF9DB521F83}

폴더 / 파일

 C:\Program Files\cleversearchgt\cleversearchgt.dll

 

cleversearchgt 광고 프로그램이 설치된 환경에서는 Internet Explorer 웹 브라우저 실행시 "cleversearchgtcfg.cleversearchgt" 브라우저 도우미 개체(BHO) 등록값을 통해 "C:\Program Files\cleversearchgt\cleversearchgt.dll" 광고 모듈이 실행됩니다.

이를 통해 특정 IP 서버에 등록된 광고 구성값 정보를 체크하며 사용자가 인터넷 검색 수행시 GET 방식으로 검색 키워드 값을 조회하여 "열린 주소창 검색(dns.ktguide.com)" 서비스로 연결이 이루어질 수 있습니다.(※ 테스트 당시에서는 해당 광고 프로그램의 기능은 중지된 것으로 보입니다.)

 

만약 정상적으로 광고 행위가 수행된다면 열린 주소창 검색(dns.ktguide.com) 검색 사이트가 노출되거나 백그라운드 방식으로 검색 활동이 이루어질 수 있습니다.

 

cleversearchgt 광고 프로그램 삭제 방법

실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 cleversearchgt 삭제 항목을 이용하여 제거를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\cleversearchgtcfg.cleversearchgt
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C41F67A9-9B0C-499A-9599-9AF9DB521F83}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A61CF352-B001-442A-A2F1-AB082AA0CBA0}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{BB277CC3-A0FF-4DCF-AB7E-5817C2EE68FF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
 - cleversearchgt = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C41F67A9-9B0C-499A-9599-9AF9DB521F83}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\cleversearchgt

 

cleversearchgt 광고 프로그램 설치로 인하여 사용자 입장에서는 어떠한 도움이 되지 않는 불필요한 프로그램(PUP)이므로 설치되어 있다면 삭제하시길 권장합니다.

728x90
반응형