울지않는벌새 : Security, Movie & Society

검색 도우미 : searchlike - searchlikeexc.exe

벌새::Analysis

인터넷 검색 및 웹 사이트 접속 과정에서 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램<SHA-1 : dfdfbfc2ebbd00fddac38078e0761ba6d8b8ab9c - Hauri ViRobot : Adware.Searchlike.230552.A[h] (VT : 39/54)>의 새로운 변종이 확인되어 살펴보도록 하겠습니다.

2013년 하반기경에 첫 등장한 searchlike 광고 프로그램은 지속적으로 파일 이름을 변경하는 방식으로 배포가 이루어지고 있습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll

 

[생성 파일 등록 정보]

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe
 - SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
 - avast! : Win32:Adware-BGX [Adw] (VT : 34/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
 - SHA-1 : 038240592d8bb2dc50a8c71b8ed781f93f45b1fe
 - BitDefender : Gen:Variant.Adware.Strictor.46228 (VT : 39/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
 - SHA-1 : 9bc400abc24bb8fc41a4793bcf0be3dc463a7c65
 - Hauri ViRobot : Trojan.Win32.S.Agent.1073304[h] (VT : 37/54)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe
 - SHA-1 : e3b2ca51d4996a3c8b83c38057935734b7afa43c
 - AhnLab V3 365 Clinic : PUP/Win32.NKsolution.R85482 (VT : 36/51)

 

C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
 - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.alt (VT : 34/53)

"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe" 파일을 시작 프로그램(searchlike)으로 등록하여 자동 실행된 후 1분이 경과하면 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe" 파일을 로딩하여 메모리에 상주시킵니다.

실행된 searchlikeexc.exe 파일은 리소스에 저장된 PE 파일을 추출하여 "C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll" 광고 모듈을 생성하여 메모리에 상주시킵니다.

searchlike 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창을 자동으로 생성하여 불편을 유발할 수 있습니다.

 

searchlike 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 searchlikeexc.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 삭제 항목을 실행하여 삭제를 진행하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchlike = C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike

 

searchlike 프로그램은 지속적으로 광고 기능을 수행하는 파일 이름을 변경하는 방식으로 장기간 활동하는 광고 프로그램이므로 설치로 인하여 원치않는 광고 생성으로 불편을 겪는 일이 없도록 하시기 바랍니다.