본문 바로가기

벌새::Analysis

바로가기 아이콘 생성 프로그램 : Windows System Barozen Shortcut Manager

반응형

특정 웹 사이트 접속시 바로가기 등록을 요구하는 메시지 창을 통해 제휴 코드가 포함된 바로가기 아이콘을 생성하는 국내에서 제작된 "Windows System Barozen Shortcut Manager" 광고 프로그램(SHA-1 : 525183f0e4241bf0ab049e509b6a27466ce78033 - AVG : Generic.2E7)에 대해 살펴보도록 하겠습니다.

 

해당 광고 프로그램은 2015년 10월 하순경부터 특정 악성 프로그램을 통해 사용자 몰래 설치되는 것으로 확인되고 있으며, 제어판을 통한 삭제 이후에도 재부팅시마다 자동으로 재설치가 이루어질 수 있습니다.

 

그러므로 광고 프로그램 삭제 이후에도 반복적으로 재설치될 경우에는 "광고 프로그램 삭제 관련 문의 방법" 게시글을 참고하여 Runscanner 프로그램을 통해 문의해 주시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\Barozen
C:\Program Files\Barozen\barozen.exe :: 메모리 상주 프로세스
C:\Program Files\Barozen\barozen.ico
C:\Program Files\Barozen\barozenMon.exe :: 시작 프로그램(BarozenMon) 등록 파일, "바로젠 모니터링" 바로가기 아이콘 실행 파일
C:\Program Files\Barozen\Icons
C:\Program Files\Barozen\uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\Barozen\Update
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Barozen
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Barozen\바로젠 모니터링 시작.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Barozen\바로젠 모니터링 중지.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Barozen\바로젠 홈페이지.lnk
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Barozen
C:\Users\(사용자 계정)\Desktop\바로젠 모니터링.lnk

 

[생성 파일 진단 정보]

 

C:\Program Files\Barozen\barozen.exe
 - SHA-1 : 1d41f56f554ecc0d3a54f54f425dbe14d3d09904
 - AVG : Generic.2E7

 

C:\Program Files\Barozen\barozenMon.exe
 - SHA-1 : 0dc6b19bd3bb31040b3d8f7b762c13f497d96858
 - AhnLab V3 365 Clinic : PUP/Win32.Generic.C1312656

WiseCommerce 디지털 서명이 포함된 "Windows System Barozen Shortcut Manager" 광고 프로그램은 "C:\Program Files\Barozen" 폴더에 파일을 생성합니다.

 

Windows 시작시 BarozenMon 시작 프로그램 등록값을 이용하여 ["C:\Program Files\Barozen\barozenMon.exe" /VersionCheck] 파일을 자동 실행하여 특정 HTTPS 서버와의 통신을 통해 프로그램 업데이트 체크를 수행한 후 광고 기능을 수행하는 "C:\Program Files\Barozen\barozen.exe" 파일을 메모리에 상주시킵니다.

  • 바로젠 모니터링(바로젠 모니터링 시작) : C:\Program Files\Barozen\barozenMon.exe
  • 바로젠 모니터링 중지 : "C:\Program Files\Barozen\barozenMon.exe" /Stop

또한 해당 광고 프로그램은 바탕 화면 및 프로그램 목록에 등록된 "바로젠 모니터링"을 통해 프로그램을 실행되도록 할 수 있습니다.

"Windows System Barozen Shortcut Manager" 광고 프로그램이 설치된 환경에서 Internet Explorer, Chrome, Mozilla Firefox 웹 브라우저를 이용하여 특정 인터넷 쇼핑몰 사이트에 접속할 경우 "바로 가기를 등록하시겠습니까?" 메시지 창을 생성하는 동작을 확인할 수 있습니다.

"%PROGRAMFILES%\Internet Explorer\iexplore.exe" h**p://www.baro***.com/udp/redi.php?dq=Tkdnl ~(생략)~ FQ2x3&name=auction

만약 사용자가 바로가기 등록을 허용(Yes)할 경우 Internet Explorer 웹 브라우저 즐겨찾기, 바탕 화면에 인터넷 쇼핑몰 바로가기 아이콘을 생성하며 클릭시 Internet Explorer 웹 브라우저를 통해 특정 웹 서버를 경유하도록 구성되어 있습니다.

이를 통해 연결되는 URL 값을 확인해보면 특정 제휴 코드를 통해 인터넷 쇼핑몰 사이트에 접속하여 특정 조건을 만족시킬 경우 수익이 발생할 수 있습니다.

 

"Windows System Barozen Shortcut Manager" 광고 프로그램 삭제 방법

(a) Windows 작업 관리자를 실행하여 메모리에 상주하는 barozen.exe 프로세스를 찾아 종료하시기 바랍니다.

(b) 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "Windows System Barozen Shortcut Manager" 삭제 항목을 실행하여 프로그램 삭제를 진행하시기 바랍니다.

 

(c) 프로그램 삭제 후 "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Barozen" 폴더와 사용자가 직접 추가하지 않은 즐겨찾기 및 바탕 화면에 생성된 인터넷 쇼핑몰 바로가기 아이콘을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\Barozen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - BarozenMon = "C:\Program Files\Barozen\barozenMon.exe" /VersionCheck
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Barozen

 

"Windows System Barozen Shortcut Manager" 광고 프로그램은 마치 사용자가 접속한 웹 사이트에서 제공하는 바로가기 아이콘을 생성하는 것처럼 동작하며, 프로그램 삭제 이후에도 바로가기 아이콘을 제거하지 않고 지속적으로 돈벌이를 수행하므로 설치되지 않도록 주의하시기 바랍니다.

 



728x90
반응형