검색 도우미 : searchlike - b_searchlikeex.exe

인터넷 검색 및 웹사이트 접속 시 자동으로 다양한 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램(SHA-1 : acaeb4e89577854c8268bef836ffc0046b6ea054 - AhnLab V3 365 Clinic : PUP/Win32.SearchLike.R85894)의 새로운 변종이 확인되어 살펴보도록 하겠습니다.

 

• 검색 도우미 : SearchLike (2013.10.1)

• 검색 도우미 : searchlike - searchlikeexa.exe (2014.11.15)

• 검색 도우미 : searchlike - searchlikeexb.exe (2015.6.28)

• 검색 도우미 : searchlike - searchlikeexc.exe (2015.11.5)

• 검색 도우미 : searchlike - a_searchlikeex.exe (2016.3.5)

 

searchlike 광고 프로그램은 2013년 하반기에 최초 등장하여 현재까지 지속적으로 변종이 발견되고 있으며, 이번에 살펴볼 파일은 2016년 3월 하순경에 수정된 버전으로 추정됩니다.

 

생성 폴더 / 파일 등록 정보

C:\Users\%UserName%\AppData\Local\searchlike C:\Users\%UserName%\AppData\Local\searchlike\a_searchlikeex.exe C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe :: 메모리 상주 프로세스 C:\Users\%UserName%\AppData\Local\searchlike\scun.exe :: 프로그램 삭제 파일 C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe :: 시작 프로그램(searchlike) 등록 파일 C:\Users\%UserName%\AppData\Local\searchlike\ts5.dll

생성 파일 진단 정보

C:\Users\%UserName%\AppData\Local\searchlike\a_searchlikeex.exe  - SHA-1 : a8c9366905d1d40cbcc1384743f26ad4f5c7fc31  - AhnLab V3 365 Clinic : PUP/Win32.NKsolution.R85482   C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe  - SHA-1 : fce821dcb066746f87def55c10fa5b3270ff8c91  - BitDefender : Gen:Variant.Adware.Graftor.143069   C:\Users\%UserName%\AppData\Local\searchlike\scun.exe  - SHA-1 : 3f1a67b3f57b6311fd93bb202d056a6e02c50529  - AhnLab V3 365 Clinic : PUP/Win32.SearchKeys.C205175   C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe  - SHA-1 : 1db3c636de1bb9a7225024a7bc49677f5def95a5  - Hauri ViRobot : Adware.Kraddare.230568.A[h]   C:\Users\%UserName%\AppData\Local\searchlike\ts5.dll  - SHA-1 : 0d4f39564f9fa4d3e414cddd425a47ce3df9d6e3  - BitDefender : Gen:Variant.Adware.Symmi.36013

 

"LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 searchlike 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

 

Windows 시작 시 searchlike 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe" 파일을 자동 실행하여 프로그램 업데이트 체크를 수행합니다.

 

이후 [cmd /c "C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe"] 명령어를 통해 광고 기능을 수행하는 b_searchlikeex.exe 파일을 로딩하여 메모리에 상주시킵니다.

 

 

실행된 b_searchlikeex.exe 파일은 리소스 영역에 패킹된 ts5.dll 광고 모듈을 추출하며 만약 DLL 모듈이 삭제된 경우 부팅 시마다 자동으로 재생성될 수 있습니다.

 

• 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

 

또한 b_searchlikeex.exe 파일은 실행 중인 프로세스 중 PC방 관리 솔루션(gamedcup.exe, gchartc.exe, gcrawl.exe, getotb.exe, gtiexp.exe, gtlexp.exe, PCWC_Ag.exe, PCWC.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, picatoolsMgr.exe, pmclientsetup.exe, ptclient.exe, qaagent.exe, WmCounter.exe)이 존재할 경우 searchlike 광고 프로그램 행위를 중지하도록 제작되어 있습니다.

 

 

searchlike 광고 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 기본 검색 공급자로 연결되는 과정에서 자동으로 네이버(Naver) 검색으로 가로채기를 수행합니다.

 

또한 인터넷 검색 키워드를 참조하여 인터넷 검색 시 자동으로 매칭되는 광고창 생성 행위가 이루어질 수 있습니다.

 

 

그 외에도 웹 브라우저 종료 시 자동으로 종합쇼핑몰 콘텐츠가 포함된 웹사이트로 연결되어 제휴 코드가 추가된 다양한 쇼핑몰 접속을 유도할 수 있습니다.

 

■ searchlike 광고 프로그램 제거 방법

 

(a) 작업 관리자를 실행하여 메모리에 상주하는 b_searchlikeex.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 프로그램을 찾아 제거하시기 바랍니다.

 

생성 레지스트리 등록 정보

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  - searchlike = C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike HKEY_CURRENT_USER\Software\searchlike

 

searchlike 광고 프로그램의 삭제는 쉽지만 설치로 인하여 원치않는 광고창의 지속적인 노출로 불편을 유발할 수 있으므로 사용자가 잘 판단하여 제거하시기 바랍니다.