인터넷 검색 및 웹사이트 접속 시 자동으로 다양한 광고창을 생성할 수 있는 국내에서 제작된 searchlike 광고 프로그램(SHA-1 : acaeb4e89577854c8268bef836ffc0046b6ea054 - AhnLab V3 365 Clinic : PUP/Win32.SearchLike.R85894)의 새로운 변종이 확인되어 살펴보도록 하겠습니다.
searchlike 광고 프로그램은 2013년 하반기에 최초 등장하여 현재까지 지속적으로 변종이 발견되고 있으며, 이번에 살펴볼 파일은 2016년 3월 하순경에 수정된 버전으로 추정됩니다.
|
생성 폴더 / 파일 등록 정보 |
|
C:\Users\%UserName%\AppData\Local\searchlike
|
|
생성 파일 진단 정보 |
|
C:\Users\%UserName%\AppData\Local\searchlike\a_searchlikeex.exe
C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe
C:\Users\%UserName%\AppData\Local\searchlike\scun.exe
C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe
C:\Users\%UserName%\AppData\Local\searchlike\ts5.dll
|
"LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 searchlike 광고 프로그램은 "C:\Users\%UserName%\AppData\Local\searchlike" 폴더에 파일을 생성합니다.
Windows 시작 시 searchlike 시작 프로그램 등록값을 통해 "C:\Users\%UserName%\AppData\Local\searchlike\searchlike.exe" 파일을 자동 실행하여 프로그램 업데이트 체크를 수행합니다.
이후 [cmd /c "C:\Users\%UserName%\AppData\Local\searchlike\b_searchlikeex.exe"] 명령어를 통해 광고 기능을 수행하는 b_searchlikeex.exe 파일을 로딩하여 메모리에 상주시킵니다.
실행된 b_searchlikeex.exe 파일은 리소스 영역에 패킹된 ts5.dll 광고 모듈을 추출하며 만약 DLL 모듈이 삭제된 경우 부팅 시마다 자동으로 재생성될 수 있습니다.
또한 b_searchlikeex.exe 파일은 실행 중인 프로세스 중 PC방 관리 솔루션(gamedcup.exe, gchartc.exe, gcrawl.exe, getotb.exe, gtiexp.exe, gtlexp.exe, PCWC_Ag.exe, PCWC.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe, picatoolsMgr.exe, pmclientsetup.exe, ptclient.exe, qaagent.exe, WmCounter.exe)이 존재할 경우 searchlike 광고 프로그램 행위를 중지하도록 제작되어 있습니다.
searchlike 광고 프로그램이 설치된 환경에서 Internet Explorer 웹 브라우저의 주소 표시줄에 검색어를 입력하여 기본 검색 공급자로 연결되는 과정에서 자동으로 네이버(Naver) 검색으로 가로채기를 수행합니다.
또한 인터넷 검색 키워드를 참조하여 인터넷 검색 시 자동으로 매칭되는 광고창 생성 행위가 이루어질 수 있습니다.
그 외에도 웹 브라우저 종료 시 자동으로 종합쇼핑몰 콘텐츠가 포함된 웹사이트로 연결되어 제휴 코드가 추가된 다양한 쇼핑몰 접속을 유도할 수 있습니다.
■ searchlike 광고 프로그램 제거 방법
(a) 작업 관리자를 실행하여 메모리에 상주하는 b_searchlikeex.exe 프로세스를 찾아 종료하시기 바랍니다.
(b) 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 searchlike 프로그램을 찾아 제거하시기 바랍니다.
|
생성 레지스트리 등록 정보 |
|
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
|
searchlike 광고 프로그램의 삭제는 쉽지만 설치로 인하여 원치않는 광고창의 지속적인 노출로 불편을 유발할 수 있으므로 사용자가 잘 판단하여 제거하시기 바랍니다.
'벌새::Analysis' 카테고리의 다른 글
| 검색 도우미 : TSLIDE (2) | 2016.08.12 |
|---|---|
| 검색 도우미 : SignKey - b_signkeyex.exe (1) | 2016.08.11 |
| 검색 도우미 : searchlike - b_searchlikeex.exe (0) | 2016.08.06 |
| 네이버(Naver) 접속 시 공유기 DNS 서버 변조를 이용한 국내 성인 광고 생성 (2016.8.1) (4) | 2016.08.01 |
| 제거되지 않는 "MicroSearch Mapping Agents Program" 악성 광고 배포 프로그램 주의 (2016.7.31) (0) | 2016.07.31 |
| 인터파크(InterPark) 쇼핑몰에 삽입된 네이버(Naver) 피싱 코드 (2016.7.26) (10) | 2016.07.26 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
