애드웨어 정보2014.03.13 23:59

본 포스트에서는 서치라이크(searchlike) 삭제 및 제거 정보에 대해 언급하고자 합니다.본 서치라이크(searchlike) 애드웨어는 일부 블로그, 카페 등의 다소 신뢰하기가 어려운 사이트 내에서 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸조이, P's Downloader, 유틸쉐어 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다.



서치라이크(searchlike)는 다른 애드웨어와 마찬가지로 down.searchlike.co.kr(211.233.11.133) 웹 서버에서 다운 및 업데이트할 파일들을 확인한 다음, 211.233.63.172에서 서치라이크(searchlike) 실행에 필요한 파일들을 다운받습니다. 이러한 네트워크 과정을 아래와 같으며 다음의 경로에 서치라이크(searchlike) 파일 및 레지스트리 생성이 이루어집니다.




▶ C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe

▶ C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe

▶ C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeex.exe

▶ C:\Users\(사용자 계정)\AppData\Local\searchlike\ts4.dll 



HKEY_CURRENT_USER\Software\searchlike

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"searchlike"="C:\\Users\\Test\\AppData\\Local\\searchlike\\searchlike.exe" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\searchlike




본 서치라이크(searchlike)는 시작 프로그램 항목 생성하는 방식을 통하여 윈도우 (재)부팅시 자동으로 실행이 이루어지도록 되어 있습니다.



 searchlike = "C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlike.exe"



> searchlike.exe 파일의 기능 : 일단 searchlike.exe는 UPX로 패킹이 되어 있으며 이를 본인이 알아서 잘 언패킹하면 1차적으로 파일 업데이트를 담당하는 기능이 있음을 확인할 수 있습니다.



2차적으로 함수를 몰라 인터넷 검색해봤는데 LStrCatN, LStrToPChar로 가져온 경로 혹은 문자열을 연결시키고 WinExec 함수를 이용하여 cmd /c C:\Users\(사용자 계정)\AppData\Local\searchlike\searchlikeex.exe를 실행한 뒤 자신은 알아서 종료합니다.


 


> searchlikeex.exe 파일의 기능 : searchlike.exe 내에서 Winexec 함수로 cmd /c를 실행해 호출이 이루어지며 본 프로그램 역시나 UPX로 패킹되어 있습니다. 



언패킹 하면 1차적으로 특정 프로세스를 확인하는 걸 포착할 수 있습니다. 대체로 PC방 프로세스이며, 프로세스 확인시 작동을 하지 않을 것으로 보입니다.



감시 프로세스 : picatoolsMgr.exe, getotb.exe, WmCounter.exe, qaagent.exe, gchartc.exe, gamedcup.exe, PCWC.exe, PCWC_Ag.exe, gtiexp.exe, gcrawl.exe, pmclientsetup.exe, ptclient.exe, PicaClient32.exe, PicaClient64.exe, picatoolsClient1.5.exe, picatoolsClientSe7en.exe



2차적으로 searchlikeex.exe가 프로세스 상에서 활성화가 되었을 때 웹 브라우저 서핑간 www.joyshopping.co.kr(211.233.63.176)으로 도메인, 접속 사이트 정보를 전송하는 기능을 수행합니다.






더불어 네이버 등의 검색 엔진을 활용할 때 만일 사용자가 입력한 '키워드'가 프로그램 조건에 맞으면 키워드 전송은 물론이고 제휴 사이트 클릭몬 사이트 click.clickmon.co.kr(116.124.128.222)를 경유하여 리다이렉트하여 쇼핑몰 사이트 팝업창을 생성합니다. 추측이 이루어지는 제휴 사이트 광고 팝업창을 약 1~2분 간격으로 다수 생성하는 역할을 수행합니다. 광고 대행사 용어로 CPC를 이용하는 것 같은데 어쩌면 '부당수익' 창출일지도 모르겠네요. 전문적으로 아시는 분 덧글 좀...





더군다나 익스플로러를 종료해도 '입력된 키워드'를 기반으로 제휴 사이트 팝업창이 재차 생성이 되어 짜증납니다 아오....





만일 사용자가 입력한 키워드가 프로그램 조건에 맞지 않을 시 그냥 ad.syndiapi.com(101.79.69.29)와 www.joyshopping.co.kr(211.233.63.176)으로 익스플로러 버젼, 현재 웹 사이트 주소 등을 전송하는 기능을 수행합니다. 



ad.syndiapi.com/apptag/keysearch_tr.asp?keywords=%C7%D0%BF%F8&part=muhangame&SiteHost=

http://search.naver.com/search.naver?where=nexearch&query=%25ED%2595%2599%25EC%259B%2590&sm=top_hty&fbm=1

&ie=utf8



ad.syndiapi.com/apptag/keysearch_v3.asp?keywords=%C7%D0%BF%F8&part=muhangame&browerch=&SiteHost=search.naver.com


www.joyshopping.co.kr /call_pop/popkey.php?u=default&a=60DE1A24_139242715&q=%ED%95%99%EC%9B%90&code=keyword&

rl=http%3A%2F%2Fsearch.naver.com%2Fsearch.naver%3Fwhere%3Dnexearch%26query%3D%25ED%2595%2599%25EC%

259B%2590%26sm%3Dtop_hty%26fbm%3D1%26ie%3Dutf8&aff=searchlike




> 서치라이크(searchlike) 삭제 및 제거 방법


1. 프로그램 추가/제거 항목에서 searchlike를 삭제해주시기 바랍니다. 만일 searchlikeex.exe가 활성화가 되어 있으나 아쉽게도 프로그램 추가/제거 항목에 존재하지 않을 경우 아래의 경로에서 수동으로 언인스톨 파일을 실행하여 삭제해주시기 바랍니다.



C:\Users\(사용자 계정)\AppData\Local\searchlike\scun.exe


2. 아래의 경로에 있는 레지스트리를 삭제해주시기 바랍니다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"searchlike"="C:\\Users\\Test\\AppData\\Local\\searchlike\\searchlike.exe" 

Posted by Ec0nomist

댓글을 달아 주세요