애드웨어 정보2014.03.15 03:35

본 포스트에서는 Searchline-nc 애드웨어에 대한 삭제 및 제거 정보를 언급하고자 합니다. searchline-nc는 일단 searchlike와 유사한 작품으로 보이며, 설치 경로는 일부 블로그, 카페 등의 다소 직관적으로나 논리적으로나 신뢰하기가 어려운 사이트로 보입니다. 그리고 본 프로그램은 정상 프로그램과 광고 수익을 목적으로 하는 제휴 프로그램을 동반 설치하는 유틸룸, 유틸조이 등의 다운로더에 의해 1차적으로 프로그램 설치에 대한 합법성을 얻기 위해 반 강제적으로 '제휴 프로그램 사용 약관'을 사용자가 눈치채지 못하는 부분에 두는 방식으로, 일종의 사용자를 기만하는 방식을 이용하며, 2차적으로 프로그램 설치를 인지하지 못하게 시스템 백그라운드 상에서 조용히 설치가 이루어지는 프로그램 중 하나입니다.



참고로 searchline-nc의 경우 다른 애드웨어처럼 특정 웹 서버에서 파일을 다운받아와 PC내에 생성 및 설치를 하는 방법이 아닌 파일 자체 내에 인스톨 기능이 내장되어 있기에 추가적으로 웹 서버에서 파일을 다운받아오지는 않습니다. 어쨋든 설치가 완료되면 아래의 경로에 파일 및 레지스트리를 생성합니다.


▶ C:\Program Files\Searchline_nc\searchline_nc.dll

▶ C:\Program Files\Searchline_nc\searchlinedc.exe

▶ C:\Program Files\Searchline_nc\searchlineu_nc.exe

▶ C:\Program Files\Searchline_nc\uninstall.exe


▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\searchline_nc.DLL

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{3FE22CA2-D5CC-4961-9FA3-96140C724342}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5F930A63-011A-4796-A0FB-3A7C8F78E7CF}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{BC5EC5A8-9A2B-4F4C-BF58-BBB179EB6850}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\searchline_nc.searchline_nc_Obj

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{DB89C58B-D295-4783-99AC-ABAADE306791}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5F930A63-011A-4796-A0FB-3A7C8F78E7CF}

▶ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Searchline_nc uninstall

▶ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Searchline_ncupdate"="C:\\Program Files\\Searchline_nc\\searchlinedc.exe" 

"Searchline_nc"="\"C:\\Program Files\\Searchline_nc\\searchlineu_nc.exe\" subcmd" 


▶ HKEY_CURRENT_USER\Software\searchlinenc

▶ HKEY_CURRENT_USER\Software\searchlinenc\ncu

▶ HKEY_CURRENT_USER\Software\slnpublisher




그리고 Searchline-nc의 응용 프로그램은 시작프로그램 항목과 더불어 작업 스케줄러에 자신의 프로그램을 등록하여 윈도우 재부팅시 자동으로 시작이 되는 구조로 되어 있으며, Dll 모듈 파일은 인터넷 익스플로러 내의 브라우저 개체 도우미(Browser Helper Object)로 삽입이 되어 제 기능을 수행합니다. 기술적으로 많이 허접하지만 그래도 제 나름대로 더 세부적으로 파악해보겠습니다.



 searchlinedc.exe



Searchline-nc = "C:\Program Files\Searchline_nc\searchlinedc.exe"


본 프로그램이 실행이 되면 광고 수익을 목적으로 하는 특정 애드웨어를 설치하도록 유도하는 업데이트 창이 생성이 이루어지며, 훼이크가 많아서 자칫 설치하기 싫은데 설치가 이루어질 수 있습니다.



search-lixxx.co.kr/pt_system/cnt/index.php?pid=sline_green&type=4

search-lixxx.co.kr/pt_system/searchlines/update/ad/sline_green/inst.php




 searchlineu_nc.exe


1) 시작 프로그램 항목에 등록된 searchlineu_nc.exe /subcmd의 기능



Search line Nc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" subcmd


MoveWindow, ShowWindow, SetWindowTextA, hWnd 등의 함수로만 봐서는 searchline_nc와 관련되어 어떤 특정 윈도우 창을 만들 것으로 추측이 됩니다만 아쉽게도 Virtualbox에서는 기능 작동이 실현되지 않았으며, 그저 search-lines.co.kr(121.78.93.165) 서버에 업데이트 관련 구성값을 확인하는 것만 확인이 되었습니다. ㅇㅅㅇ;;







2) 작업스케줄러 내에 등록된 searchlineu_nc.exe /schcmd 



Searchlinenc = "C:\Program Files\Searchline_nc\searchlineu_nc.exe" schcmd



일단 /subcmd 명령어로 실행이 된 것과 마찬가지로 search-lines.co.kr(121.78.93.165)에 업데이트 관련 파일을 전송하는 기능을 수행하는 것이 포착되었으며 2차적으로 schcmd 기능 종료 후 runcmd 명령어를 호출하여 시작프로그램 영역에 있는 search line nc을 호출될 때마다 생성하는 기능을 수행하는 것으로 보입니다.







3) Anti-VM 및 네트워크 분석 도구 우회 기능 : 특정 프로세스 및 문자열을 탐지하여 특정 프로세스 및 문자열 존재시 제 기능을 수행하지 않는 것으로 보입니다. 그래서 아마 제 기능 모두 작동하지 않은 것으로 보여집니다. ㅇㅅㅇ


특정 프로세스 : VMwareTray.exe, vmtoolsd.exe, Fiddler.exe, SnoopSpy.exe, Wireshark.exe, smsniff.exe

                              MessageAnalyzer.exe,     Packetyzer.exe


특정 문자열 : VMWare, %VMware%, %Virtual HDD%, %VBOX% → 아마 레지스트리 Enum 하드웨어 부분을 보는 것으로 추측이 됨.






 searchlineu_nc.dll - 인터넷 익스플로러에 브라우저 개체 도우미(Browser Helper Object) 형식으로 실행이 이루어집니다.





그리고 특정 조건에 부합되는 웹 사이트 서핑간 PID(Partner ID)와 더불어 BHO의 사용 횟수를 확인하여 search-lines.co.kr(121.78.93.165) 서버로 전송하는 기능을 수행합니다.




하지만 주소창에 특정 단어를 검색하게 되면 기존의 검색 공급자 엔진에 덧붙여 열린 주소창 통합 검색(dns3.ktguide.com) 창까지 둘 다 뜹니다.ㅇㅅㅇ;;






>> 열린주소창 통합검색(dns3.ktguide.com)을 생성하는 Searchline-nc 삭제 방법


1. 프로그램 및 기능에서 'Searchline-nc'를 삭제해주시기 바랍니다. 





만일 searchline-nc가 활성화가 되어 있으나 프로그램 및 기능 항목에 존재하지 않는다면 아래의 경로에서 수동으로 언인스톨 파일을 실행하여 삭제해주시기 바랍니다.


C:\Program Files\Searchline_nc\uninstall.exe



2. 아래의 경로에 있는 레지스트리를 삭제해주시기 바랍니다.


▶ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Searchline_nc"="\"C:\\Program Files\\Searchline_nc\\searchlineu_nc.exe\" subcmd" 




Posted by Ec0nomist

댓글을 달아 주세요

  1. sungbumy

    안녕하세요 포스팅 잘봤습니다....

    알려주신대로 프로그램도 삭제를 하고 레리스트리도 삭제를 하였습니다......

    헌데 계속 익스플로러 실행시 특정 쇼핑몰이 계속 뜨고있습니다만..

    위문제는 어떻게 해결해야 하는지도 좀 알려주시면 감사하겠습니다.

    2014.04.02 10:27 [ ADDR : EDIT/ DEL : REPLY ]
    • 익스플로러 실행시 특정 쇼핑몰이 계속 뜨는 점은 해당 애드웨어가 아닌 다른 애드웨어 문제가 있을 수 있기에 제어판 프로그램 및 기능에서 이상하다 싶은 프로그램들을 확인 및 삭제해보시기 바랍니다.

      뭐.... 힘드시다면(?) 네이버 '바이러스 제로 시즌2' 카페 매니저님이 만드신 Rootkit ReMoVeR 프로그램을 이용해보시는 것도 좋습니다.

      http://m.cafe.naver.com/malzero/94542

      2014.04.02 11:44 신고 [ ADDR : EDIT/ DEL ]
    • 넘 감사합니당 ♡♡ 삭제된거같아요 ㅎㅎㅎ 보이지않아요~~~!! 평소 컴퓨터 이렇게 저렇게 블로거 눈팅하며 많은 정보 도움 얻습니다. 정말 감사합니다 ^^♡♡♡

      2014.05.25 20:34 [ ADDR : EDIT/ DEL ]
  2. 안녕하세요 포스팅 너무 감사합니다
    저는.지금 3개의 프로그램으로 돌려도 전부다 읽다가 멈추어져 있는데요. 어떻게 삭제가 되질 않습니다. 프로그램 제가도 언인스톨도 v3에서도 다 삭제가되질 않아요...ㅠㅜ 도와주세요 어떻게 하면 되나요..

    2014.05.25 17:45 [ ADDR : EDIT/ DEL : REPLY ]
    • Rootkit ReMoVeR 이용해보세요. 혹은 네이버 바이러스 제로 시즌2 카페에서 ViOLeT 매니저님에게 물어보는 것도 좋은 방법입니다.

      2014.05.25 19:22 신고 [ ADDR : EDIT/ DEL ]
  3. 게시글 잘 보았습니다.근데 제가 다른 선배들한테추천 받아서 왓클린이란 프로그램을 깔아서 추천해주는 필요없는것들은 다 지웠는데,....Searchline-nc만 삭제를 해도 진행이 되지 않고있습니다. 게시글에 써주신데로 했는데도 똑같아요ㅠㅠ이걸 못없애면 너무 찝찝할것 같은데 어떻게하면좋죠?ㅠㅠ

    2014.06.25 02:50 [ ADDR : EDIT/ DEL : REPLY ]