울지않는벌새 : Security, Movie & Society

검색 도우미 : 옥션 오픈 쇼핑 가이드(Auction Open Shopping Guide) - OpenGuide

벌새::Analysis
국내에서 제작된 검색 도우미 옥션 오픈 쇼핑 가이드(Auction Open Shopping Guide) 프로그램에 대해 살펴보도록 하겠습니다.

참고로 해당 프로그램의 Setup 설치 파일(MD5 : cf09c7c735a273a6fcdc36bfb9c2490f)은 인터넷 쇼핑몰 옥션(Auction)에서 제작한 것이 아님을 밝힙니다.
생성 폴더, 파일 정보
해당 프로그램은 윈도우 시작시 aosg.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
실행된 프로그램은 aosgov.exe 프로세스를 생성하여 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 aosgsb.dll 파일을 추가하여 동작하는 것을 확인할 수 있습니다.
실제 동작 형태를 살펴보면 사용자가 Internet Explorer를 실행하여 검색 사이트에서 검색을 시도할 경우 좌측 사이드바에 [Auction 오픈쇼핑] 표기를 통한 상품 판매 광고를 생성하는 것을 확인할 수 있습니다.

추가적으로 해당 사이드바 하단에서는 [made by openguide] 표기를 통해 해당 프로그램 배포 사이트를 확인할 수 있습니다.
사이드바에 생성되는 상품 광고를 클릭할 경우 링크프라이스(LinkPrice) 광고 코드를 경유하여 접근하므로, 상품 구매시 프로그램 배포자에게 금전적 수익이 발생할 것으로 보입니다.
프로그램 삭제시에는 반드시 작업 관리자에서 aosgov.exe 프로세스를 수동으로 종료하시고, Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Auction Open Shopping Guide] 삭제 항목을 이용하여 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\CLSID\{EB15F7B9-9689-45c3-8669-367CAB1874C6}
HKEY_CLASSES_ROOT\Interface\{CC03E752-D2A6-47E2-827C-2FC91F33F6FB}
HKEY_CLASSES_ROOT\openguide.Ovr
HKEY_CLASSES_ROOT\openguide.Ovr.1
HKEY_CLASSES_ROOT\TypeLib\{77848F4A-5005-41EB-9604-3DF835DBF79A}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - openguide = "C:\Program Files\openguide\aosg.exe"
HKEY_CURRENT_USER\Software\openguide
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\openguide