본문 바로가기

벌새::Analysis

검색 도우미 : camsv service

반응형

포털 사이트 및 특정 인터넷 쇼핑몰 접속 시 광고 배너 또는 팝업창을 생성할 수 있는 국내에서 제작된 "camsv service" 광고 프로그램(SHA-1 : 821c82aadcb65aabb34da6687a3312b986b50a24 - AhnLab V3 365 Clinic : PUP/Win32.Helper.C1319745)에 대해 살펴보도록 하겠습니다.

"camsv service" 광고 프로그램은 2016년 1월 중순경 배포가 시작된 것으로 추정되며, 기존에 유사한 기능을 가진 다양한 변종 광고 프로그램이 존재하였으므로 참고하시기 바랍니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\(로그인 계정명)\AppData\Roaming\camsv
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsv.dat
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsv.exe :: 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsv.ini
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvmon.exe :: 서비스(camsvmonService) 등록 파일, 메모리 상주 프로세스
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvuninstall.exe :: 프로그램 삭제 파일
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvupdate.exe
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvupdate.log
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\Mtodt.tmd
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\mu.dll
C:\Users\(로그인 계정명)\AppData\Roaming\camsv\version.txt

 

blogmania 디지털 서명이 포함된 "camsv service" 광고 프로그램은 "C:\Users\(로그인 계정명)\AppData\Roaming\camsv" 폴더에 파일을 생성합니다.

"camsvmonService (표시 이름 : camsvmonService)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvmon.exe" 파일(SHA-1 : 47dd323cec457941aceba0d12833fa1f84570626)을 자동 실행하여 메모리에 상주하도록 구성되어 있습니다.

자동 실행된 camsvmon.exe 서비스 파일은 "C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsvupdate.exe" 파일(SHA-1 : e8b4d5c06c7030b51daf15353bc86f9abe200f63)을 로딩하여 프로그램 버전 체크를 통한 업데이트를 진행한 후 광고 기능을 수행하는 "C:\Users\(로그인 계정명)\AppData\Roaming\camsv\camsv.exe" 파일(SHA-1 : 70e8a4e9bc1bbcca7961c76d59bf5cb9ff0d0a33)을 실행하여 메모리에 상주시킵니다.

"camsv service" 광고 프로그램이 설치된 환경에서는 포털 사이트 및 특정 웹사이트 접속을 통한 인터넷 검색 과정에서 조건을 만족시킬 경우 광고 배너 또는 팝업창을 생성할 수 있을 것으로 추정됩니다.

 

"camsv service" 광고 프로그램 삭제 방법

(a) 명령 프롬프트(관리자)를 실행하여 [sc stop "camsvmonService"] 명령어를 입력 및 실행하여 camsvmon.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

(b) 작업 관리자를 실행하여 메모리에 상주하는 camsv.exe 프로세스를 찾아 종료하시기 바라며, 만약 "프로세스를 종료할 수 없습니다." 메시지가 표시될 경우에는 "모든 사용자의 프로세스 표시" 항목에 체크한 후 종료하시기 바랍니다.

(c) 실행 중인 웹 브라우저를 종료한 상태에서 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "camsv service" 삭제 항목을 실행하여 프로그램 제거를 진행하시기 바랍니다.

 

(d) 프로그램 제거 후 추가적으로 "C:\Users\(로그인 계정명)\AppData\Roaming\camsv" 폴더를 찾아 삭제하시기 바랍니다.

(e) 명령 프롬프트(관리자)를 실행하여 [sc delete "camsvmonService"] 명령어를 입력 및 실행하여 제거되지 않은 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\camsv
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\camsvmonService

 

 

"camsv service" 광고 프로그램은 사용자가 접속한 웹사이트에서 제공하는 광고 배너로 착각을 유발할 수 있으므로 설치되지 않도록 주의하시기 바랍니다.

728x90
반응형