인터넷 검색 및 웹 사이트 접속 과정에서 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램<SHA-1 : dfdfbfc2ebbd00fddac38078e0761ba6d8b8ab9c - Hauri ViRobot : Adware.Searchlike.230552.A[h] (VT : 39/54)>의 새로운 변종이 확인되어 살펴보도록 하겠습니다.
2013년 하반기경에 첫 등장한 searchlike 광고 프로그램은 지속적으로 파일 이름을 변경하는 방식으로 배포가 이루어지고 있습니다.
C:\Users\(사용자 계정)\AppData\Local\searchlike
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe :: 메모리 상주 프로세스
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe
- SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
- avast! : Win32:Adware-BGX [Adw] (VT : 34/54)
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
- SHA-1 : 038240592d8bb2dc50a8c71b8ed781f93f45b1fe
- BitDefender : Gen:Variant.Adware.Strictor.46228 (VT : 39/54)
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexb.exe
- SHA-1 : 9bc400abc24bb8fc41a4793bcf0be3dc463a7c65
- Hauri ViRobot : Trojan.Win32.S.Agent.1073304[h] (VT : 37/54)
C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe
- SHA-1 : e3b2ca51d4996a3c8b83c38057935734b7afa43c
- AhnLab V3 365 Clinic : PUP/Win32.NKsolution.R85482 (VT : 36/51)
C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll
- SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
- Kaspersky : not-a-virus:AdWare.Win32.Kraddare.alt (VT : 34/53)
"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(사용자 계정)\AppData\Local\searchlike" 폴더에 파일을 생성합니다.
Windows 시작시 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe" 파일을 시작 프로그램(searchlike)으로 등록하여 자동 실행된 후 1분이 경과하면 광고 기능을 수행하는 "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeexc.exe" 파일을 로딩하여 메모리에 상주시킵니다.
실행된 searchlikeexc.exe 파일은 리소스에 저장된 PE 파일을 추출하여 "C:\Users\(사용자 계정)\AppData\Local\searchlike\ts5.dll" 광고 모듈을 생성하여 메모리에 상주시킵니다.
searchlike 광고 프로그램이 설치된 환경에서는 인터넷 검색 및 웹 사이트 접속 과정에서 다양한 광고창을 자동으로 생성하여 불편을 유발할 수 있습니다.
■ searchlike 광고 프로그램 삭제 방법
(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 searchlikeexc.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 삭제 항목을 실행하여 삭제를 진행하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- searchlike = C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike
searchlike 프로그램은 지속적으로 광고 기능을 수행하는 파일 이름을 변경하는 방식으로 장기간 활동하는 광고 프로그램이므로 설치로 인하여 원치않는 광고 생성으로 불편을 겪는 일이 없도록 하시기 바랍니다.