인터넷 검색 및 웹사이트 접속 시 자동으로 다양한 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램(SHA-1 : acaeb4e89577854c8268bef836ffc0046b6ea054 - AhnLab V3 365 Clinic : PUP/Win32.SearchLike.R85894)의 새로운 변종이 확인되어 살펴보도록 하겠습니다.

• 검색 도우미 : SearchLike (2013.10.1)

• 검색 도우미 : searchlike - searchlikeexa.exe (2014.11.15)

• 검색 도우미 : searchlike - searchlikeexb.exe (2015.6.28)

• 검색 도우미 : searchlike - searchlikeexc.exe (2015.11.5)

• 검색 도우미 : searchlike - a_searchlikeex.exe (2016.3.5)

searchlike 광고 프로그램은 2013년 하반기에 최초 등장하여 현재까지 지속적으로 변종이 발견되고 있으며, 이번에 살펴볼 파일은 2016년 3월 하순경에 수정된 버전으로 추정됩니다.

"LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 searchlike 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\searchlike" 폴더에 파일을 생성합니다.

Windows 시작 시 searchlike 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe" 파일을 자동 실행하여 프로그램 업데이트 체크를 수행합니다.

이후 [cmd /c "C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe"] 명령어를 통해 광고 기능을 수행하는 b_searchlikeex.exe 파일을 로딩하여 메모리에 상주시킵니다.

실행된 b_searchlikeex.exe 파일은 리소스 영역에 패킹된 ts5.dll 광고 모듈을 추출하며 만약 DLL 모듈이 삭제된 경우 부팅 시마다 자동으로 재생성될 수 있습니다.

• 개인 사용자 PC는 광고 프로그램의 돈줄인가? (2012.3.10)

또한 b_searchlikeex.exe 파일은 실행 중인 프로세스 중 PC방 관리 솔루션(gamedcup.exe, gchartc.exe, gcrawl.exe, getotb.exe, gtiexp.exe, gtlexp.exe, PCWC_Ag.exe, PCWC.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, picatoolsMgr.exe, pmclientsetup.exe, ptclient.exe, qaagent.exe, WmCounter.exe)이 존재할 경우 searchlike 광고 프로그램 행위를 중지하도록 제작되어 있습니다.

searchlike 광고 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 기본 검색 공급자로 연결되는 과정에서 자동으로 네이버(Naver) 검색으로 가로채기를 수행합니다.

또한 인터넷 검색 키워드를 참조하여 인터넷 검색 시 자동으로 매칭되는 광고창 생성 행위가 이루어질 수 있습니다.

그 외에도 웹 브라우저 종료 시 자동으로 종합쇼핑몰 콘텐츠가 포함된 웹사이트로 연결되어 제휴 코드가 추가된 다양한 쇼핑몰 접속을 유도할 수 있습니다.

■ searchlike 광고 프로그램 제거 방법

(a) 작업 관리자를 실행하여 메모리에 상주하는 b_searchlikeex.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 프로그램을 찾아 제거하시기 바랍니다.

searchlike 광고 프로그램의 삭제는 쉽지만 설치로 인하여 원치않는 광고창의 지속적인 노출로 불편을 유발할 수 있으므로 사용자가 잘 판단하여 제거하시기 바랍니다.