본문 바로가기

벌새::Analysis

삭제해도 재설치가 이루어지는 바로서치(BaroSearch) 유포 사례

반응형

다양한 경로를 통해 설치가 되어 즐겨찾기, 명령 모음, 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘을 생성하는 바로서치(BaroSearch) 프로그램은 삭제가 되지 않는 문제가 있다고 언급한 적이 있었습니다.


  제휴(스폰서) 프로그램 : 바로서치(BaroSearch) (2011.4.24)


  제휴(스폰서) 프로그램 : 바로서치(BaroSearch) - rudedog22 (2011.11.19)


하지만 최근에는 프로그램을 삭제한 후에도 시스템 재시작시 자동으로 재설치되는 사례를 발견하였으며, 어떤 방식을 통해 프로그램 삭제 후에도 반복적으로 설치되는지 살펴보도록 하겠습니다.


바로서치(BaroSearch) 프로그램의 유포 방식의 핵심은 사용자가 인터넷 상에서 특정 파일을 다운로드하여 실행시 또는 프로그램 설치 후 업데이트 방식을 통해 사용자 동의를 통해 설치가 되는 것으로 추정됩니다.


하지만 실제로는 이런 설치 과정에서 사용자가 제대로 확인할 수 없도록 눈속임 또는 실수를 유발하여 설치가 이루어지고 있습니다.

GET /bacon2/A40238848/barosearchinstall.exe HTTP/1.1
User-Agent: highlv.net_5038_mfbninst.exe
Host: ********.barosearch.co.kr
Cache-Control: no-cache

이렇게 다운로드된 바로서치(BaroSearch) 설치 파일 barosearchinstall.exe (MD5 : 932f102a371b336ced66cb0b6e70e5a7)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.BaroSearch (VirusTotal : 16/42) 진단명으로 진단되고 있습니다.

다운로드된 barosearchinstall.exe 파일은 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\barosearchinstall.exe" 위치로 시작 프로그램에 등록됩니다.


시작 프로그램 폴더에 등록된 barosearchinstall.exe 파일은 바로 프로그램을 설치하는 것이 아니라, 다음 시스템 시작시 자동으로 실행되어 프로그램을 설치하도록 합니다.


  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

일반적으로 사용자가 파일은 삭제하지 않은 상태로 시스템 최적화 등을 통해 시작 프로그램 등록 레지스트리 값(Run)만 제거하여도 동작하지 않는 반면, 이번과 같이 시작 프로그램 폴더에 등록할 경우에는 파일을 제거하지 않는 한 반복적으로 시스템 시작시마다 해당 파일을 실행할 수 있는 장점이 있습니다.


이렇게 등록된 파일은 사용자가 시스템 재부팅 과정에서 시작 프로그램 폴더에 등록된 barosearchinstall.exe 파일은 추가적인 파일 다운로드를 통해 바로서치(BaroSearch) 프로그램을 설치합니다.

GET /bacon2/A40238848/barosearch.exe HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR
3.5.30729; InfoPath.2)
Host: ********.barosearch.co.kr
Connection: Keep-Alive
[생성 폴더 / 파일 등록 정보]


C:\Documents and Settings\(사용자 계정)\Favorites\11번가.url
C:\Documents and Settings\(사용자 계정)\Favorites\AK몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\CJmall.url
C:\Documents and Settings\(사용자 계정)\Favorites\GS SHOP.url
C:\Documents and Settings\(사용자 계정)\Favorites\G마켓.url
C:\Documents and Settings\(사용자 계정)\Favorites\Hmall.url
C:\Documents and Settings\(사용자 계정)\Favorites\농수산홈쇼핑 NS이숍.url
C:\Documents and Settings\(사용자 계정)\Favorites\디앤샵.url
C:\Documents and Settings\(사용자 계정)\Favorites\롯데아이몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\멋남.url
C:\Documents and Settings\(사용자 계정)\Favorites\신세계몰.url
C:\Documents and Settings\(사용자 계정)\Favorites\옥션.url
C:\Documents and Settings\(사용자 계정)\Favorites\이마트.url
C:\Documents and Settings\(사용자 계정)\Favorites\패션플러스.url
C:\Documents and Settings\(사용자 계정)\Favorites\플레이어.url
C:\Documents and Settings\(사용자 계정)\Favorites\하프클럽.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\11번가.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\G마켓.url
C:\Documents and Settings\(사용자 계정)\바탕 화면\옥션.url
C:\Program Files\barosearch
C:\Program Files\barosearch\11st.ico
C:\Program Files\barosearch\auction.ico
C:\Program Files\barosearch\barosearch.exe :: 시작 프로그램 등록 파일 / 메모리 상주 프로세스
C:\Program Files\barosearch\cjmall.ico
C:\Program Files\barosearch\cybermall.ico
C:\Program Files\barosearch\dnshop.ico
C:\Program Files\barosearch\emart.ico
C:\Program Files\barosearch\faple.ico
C:\Program Files\barosearch\gmarket.ico
C:\Program Files\barosearch\gseshop.ico
C:\Program Files\barosearch\halfclub.ico
C:\Program Files\barosearch\hmall.ico
C:\Program Files\barosearch\lotteimall.ico
C:\Program Files\barosearch\mutnam01.ico
C:\Program Files\barosearch\nseshop.ico
C:\Program Files\barosearch\player.ico
C:\Program Files\barosearch\samsungmall.ico


[생성 파일 진단 정보]


C:\Program Files\barosearch\barosearch.exe
 - MD5 : 6aa0a22f24d07c4e0f23bfba2c5ea7a3
 - Hauri ViRobot : Adware.Agent.193680.B (VirusTotal : 23/42) 

설치된 바로서치(BaroSearch) 프로그램은 "C:\Program Files\barosearch" 폴더에 주요 파일을 생성하며, 바탕 화면, Internet Explorer 즐겨찾기와 명령 모음에 11번가, G마켓, 옥션을 비롯한 다수의 인터넷 쇼핑몰 바로가기 아이콘을 생성합니다.


또한 barosearch.exe 파일을 시작 프로그램으로 등록하여 시스템 시작시마다 버전 체크를 통해 차후 변경된 인터넷 쇼핑몰 바로가기 아이콘을 추가(변경)할 수 있을 것으로 보입니다.

GET /bacon2/_autofile/_icon/A40238848.zip HTTP/1.1
Accept: */*
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET4.0C; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR
3.5.30729; InfoPath.2)
Host: ********.barosearch.co.kr
Connection: Keep-Alive

실제 barosearch.exe 파일은 특정 서버로부터 인터넷 쇼핑몰 바로가기 아이콘에서 사용할 아이콘 파일을 zip 압축 파일 형태로 받아오는 동작을 확인할 수 있습니다.

이렇게 설치된 바로서치(BaroSearch) 프로그램은 제어판의 "BaroSearch" 삭제 항목을 통해 프로그램 삭제를 지원하는 것처럼 제작되어 있습니다.

하지만 제어판을 통한 삭제를 시도할 경우 "C:\Program Files\barosearch\barosearch.exe" 파일 이외에는 삭제가 되지 않는 것을 확인할 수 있습니다.

이를 통해 여전히 사용자 PC에 남아있는 광고 코드(click.clickstory.co.kr)가 추가된 인터넷 쇼핑몰 바로가기를 통해 상품 구매 등의 조건을 만족시킬 경우, 프로그램 제작자(배포자)에게 금전적 수익이 지속적으로 발생하게 됩니다.

그러므로 제어판을 통한 프로그램 삭제가 불가능하므로 수동으로 바로서치(BaroSearch) 프로그램을 삭제하기 위해서는 반드시 Windows 작업 관리자에서 barosearch.exe 프로세스를 수동으로 종료한 후 "C:\Program Files\barosearch" 폴더 및 인터넷 쇼핑몰 바로가기 아이콘을 모두 찾아 삭제하셔야 합니다.(※ 만약 barosearch.exe 프로세스를 종료하지 않은 상태에서 폴더를 삭제하려고 하면, 그림과 같은 "파일 또는 폴더 삭제 오류"창을 통해 액세스가 거부되었다는 메시지로 삭제되지 않습니다.)


문제는 이렇게 프로그램을 삭제한 후 시스템 재부팅을 하였을 경우 바로서치(BaroSearch) 프로그램이 자동으로 재설치되는 문제가 발생할 수 있습니다.

실제 재부팅 과정에서 생성되는 파일 정보를 확인해보면 인터넷 임시 폴더에 barosearch.exe 파일을 다운로드하여 "C:\Program Files\barosearch\barosearch.exe" 형태로 생성하며, 생성된 barosearch.exe 파일은 추가적으로 A40238848.zip 압축 파일을 다운로드하여 인터넷 쇼핑몰 바로가기 아이콘을 재생성하는 것을 확인할 수 있습니다.


해당 원인은 바로서치(BaroSearch) 프로그램은 삭제하였지만, 최초 감염되는 시점에서 시작 프로그램 폴더에 등록된 "C:\Documents and Settings\(사용자 계정)\시작 메뉴\프로그램\시작프로그램\barosearchinstall.exe" 파일을 제거하지 않았기 때문에 프로그램 삭제 후에도 반복적으로 인터넷 쇼핑몰 바로가기 아이콘이 설치되고 있습니다.


그러므로 최근 유포되는 바로서치(BaroSearch) 프로그램의 경우에는 위에서 언급한 생성 폴더(파일)와 함께 barosearchinstall.exe 설치 파일을 추가로 찾아서 삭제를 하셔야 합니다.


[생성 레지스트리 등록 정보]


HKEY_CURRENT_USER\Software\barosearch
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\LowRegistry\Extensions\CmdMapping
 - {57D1CDEE-1880-484f-8361-55D7626D2679} = 2005
 - {664290A3-9ADB-4e0d-9762-EF088688AD41} = 2004
 - {D51609DD-8FD8-4eb1-9714-CA093C12A0B8} = 2006
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BaroSearch = C:\Program Files\barosearch\barosearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{57D1CDEE-1880-484f-8361-55D7626D2679}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{664290A3-9ADB-4e0d-9762-EF088688AD41}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{D51609DD-8FD8-4eb1-9714-CA093C12A0B8}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\barosearch 


또한 생성 레지스트리 정보를 참고하여 레지스트리 값을 삭제해야지 명령 모음에 등록된 11번가, G마켓, 옥션 인터넷 쇼핑몰 바로가기 아이콘을 제거할 수 있습니다.


이처럼 일부 설치 방식에 따라 사용자는 인터넷 쇼핑몰 바로가기 아이콘을 제거하였는데 반복적으로 재설치가 된다면 시작 프로그램에 설치 파일이 연결되어 있기 때문이므로, 시작 프로그램 레지스트 등록값(Run) 또는 시작 프로그램 폴더 내부를 잘 살펴보시기 바랍니다.

728x90
반응형