특정 인터넷 쇼핑몰 접속시 사용자 몰래 광고 코드를 추가하는 검색 도우미 bpntup 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(MD5 : b0abbc96a8da05e8c60929cc7de84fbe)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.Agent (VirusTotal : 24/42) 진단명으로 진단되고 있습니다.
▷ 국내 악성코드 : pop2click (2012.4.26)
해당 프로그램은 유사성이 강한 의미없는 프로그램 이름으로 등록되는 다수의 변종 프로그램이 존재하므로 참고하시기 바랍니다.
GET /****/bpntup/bpntup.zip HTTP/1.1
Content-Type: text/html
Host: ***.tmqrhks.com
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
설치 파일이 실행되면 특정 서버로부터 bpntup 프로그램 관련 파일이 포함된 bpntup.zip 압축 파일을 다운로드하여 설치가 진행됩니다.
C:\Program Files\bpntup
C:\Program Files\bpntup\bpntup.dll :: BHO 등록 파일
C:\Program Files\bpntup\bpntup.zip
C:\Program Files\bpntup\bpntupuninst.exe :: 프로그램 삭제 파일
C:\Program Files\bpntup\bpntup.dll
- MD5 : 062cc406565df907f758ec32ebcff948
- BitDefender : Adware.BHO.WUP (VirusTotal : 22/42)
해당 프로그램은 "C:\Program Files\bpntup" 폴더에 파일을 생성하며, Internet Explorer 웹 브라우저를 통해 프로그램에서 지정한 특정 인터넷 쇼핑몰에 접속시 동작하도록 구성되어 있습니다.
프로그램 동작 방식을 살펴보면 사용자가 11번가, G마켓, 옥션, GS SHOP 등 인터넷 쇼핑몰에 접속하는 과정에서 사용자 몰래 광고 코드(click.clickstory.co.kr)를 추가하여 특정 조건을 만족시킬 경우 프로그램 제작자(배포자)에게 금전적 수익을 제공할 것으로 보입니다.
이름 : bpntup
유형 : 브라우저 도우미 개체
CLSID : {0858F724-72F0-45C6-95FF-16FCB0744972}
파일 : C:\Program Files\bpntup\bpntup.dll
해당 프로그램은 Internet Explorer 웹 브라우저 실행시 iexplore.exe 프로세스에 bpntup.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 프로그램에서 지정한 인터넷 쇼핑몰 웹 사이트 접속시 광고 코드를 추가하는 동작을 하도록 제작되어 있습니다.
그러므로 광고 동작의 중지를 위해서는 웹 브라우저의 추가 기능 관리에 등록된 "bpntup" 항목을 선택하여 "사용 안 함"으로 변경하시기 바랍니다.
프로그램 삭제시에는 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 "bpntup" 삭제 항목을 이용하여 삭제할 수 있습니다.
HKEY_CURRENT_USER\Software\bpntup
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0858F724-72F0-45C6-95FF-16FCB0744972}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{0858F724-72F0-45C6-95FF-16FCB0744972}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
bpntup
해당 프로그램은 프로그램 목록에 제시되지 않는 문제로 설치 여부를 확인하기 어려우며, 인터넷 쇼핑몰 이용 과정에서 원치 않는 광고 코드 추가로 인하여 타인에게 지속적인 금전적 혜택을 줄 수 있으므로 주의하시기 바랍니다.