본문 바로가기

벌새::Analysis

검색 도우미 : searchlike - a_searchlikeex.exe

반응형

인터넷 검색, 웹사이트 접속, 웹 브라우저 종료 시 다양한 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램(SHA-1 : 826ae96cd015dfca9392d87f5702a809659e0f5e - Hauri ViRobot : Adware.Searchlike.230552.G[h])이 2015년 12월 중순경부터 파일 구조가 변경되어 배포되고 있기에 살펴보도록 하겠습니다.

 

searchlike 광고 프로그램은 변종에 따라 메모리에 상주하는 파일 이름이 지속적으로 변경되는 형태로 설치되고 있습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Local\searchlike
C:\Users\(로그인 계정명)\AppData\Local\searchlike\a_searchlikeex.exe :: 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일
C:\Users\(로그인 계정명)\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일
C:\Users\(로그인 계정명)\AppData\Local\searchlike\ts5.dll

 

생성 파일 진단 정보

 

C:\Users\(로그인 계정명)\AppData\Local\searchlike\a_searchlikeex.exe
 - SHA-1 : a8c9366905d1d40cbcc1384743f26ad4f5c7fc31
 - BitDefender : Gen:Variant.Adware.Graftor.143069

 

C:\Users\(로그인 계정명)\AppData\Local\searchlike\scun.exe
 - SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529
 - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.C205175

 

C:\Users\(로그인 계정명)\AppData\Local\searchlike\searchlike.exe
 - SHA-1 : 7f56e32943b2462c3d636888a9bbaf9c265276f6
 - ESET : a variant of Win32/AdWare.Kraddare.IH

 

C:\Users\(로그인 계정명)\AppData\Local\searchlike\ts5.dll
 - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3
 - Kaspersky : not-a-virus:AdWare.Win32.Kraddare.alt

 

"LEEYEON communication Co.,Ltd" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

Windows 시작시 searchlike 시작 프로그램 등록값을 통해 "C:\Users\(로그인 계정명)\AppData\Local\searchlike\searchlike.exe" 파일을 자동 실행하여 다운로드 서버에서 업데이트를 체크한 후 1분 대기합니다.

 

이후 광고 기능을 수행하는 "C:\Users\(로그인 계정명)\AppData\Local\searchlike\a_searchlikeex.exe" 파일을 로딩한 후 searchlike.exe 파일은 자동 종료 처리됩니다.

메모리에 상주한 a_searchlikeex.exe 파일은 리소스 영역에 추가된 "C:\Users\(로그인 계정명)\AppData\Local\searchlike\ts5.dll" 광고 모듈을 생성하여 다음과 같은 특정 조건에서 광고 행위를 수행할 수 있습니다.

웹 브라우저 종료 시 특정 웹 페이지를 오픈하여 제휴 코드가 추가된 다양한 인터넷 쇼핑몰 사이트로 클릭을 유도합니다.

Internet Explorer 웹 브라우저의 기본 검색 공급자(Bing 검색) 기능을 가로채기하여 네이버(Naver) 검색으로 연결합니다.

특정 검색 키워드를 이용하여 인터넷 검색을 통해 웹 사이트 접속 시 자동으로 다수의 광고창을 생성하여 불편을 유발할 수 있습니다.

 

searchlike 광고 프로그램 삭제 방법

(a) 작업 관리자를 실행하여 메모리에 상주하는 a_searchlikeex.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판의 프로그램 제거 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - searchlike = C:\Users\(로그인 계정명)\AppData\Local\searchlike\searchlike.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike
HKEY_CURRENT_USER\Software\searchlike

 

 

searchlike 광고 프로그램은 과거부터 사용자의 부주의한 실수를 통해 다수의 광고 프로그램과 함께 설치되어 인터넷 이용 중 불편을 유발하고 있었으므로 인터넷 상에서 다운로드 파일 실행 시 꼼꼼하게 확인하는 습관을 가지시기 바랍니다.

728x90
반응형