울지않는벌새 : Security, Movie & Society

검색 도우미 : Auction Shopping FunyMall

벌새::Analysis
국내에서 제작된 검색 도우미 Auction Shopping FunyMall 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 이전에 살펴본 옥션 오픈 쇼핑 가이드(Auction Open Shopping Guide) 프로그램과 유사하며, 이번 역시 옥션(Auction)에서 제작한 프로그램이 아님을 밝힙니다.

해당 프로그램의 Setup 설치 파일(MD5 : f0c8848966991c5e509a26197c9e131a)을 이용하여 프로그램을 설치시 사용자에게 설치 관련 화면 정보를 전혀 제공하지 않고 설치가 되고 있으며, Kaspersky 보안 제품에서 Trojan.Win32.BHO.adoa (VirusTotal : 16/42) 진단명으로 진단을 하는 것을 확인할 수 있습니다.

해당 프로그램은 [FunyMall Auction Works] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 FunyMallUpdate.exe 파일이 자동 실행되어 프로그램 업데이트 등을 체크하고 스스로 종료되도록 구성되어 있습니다.

해당 프로그램이 설치된 환경에서는 사용자가 Internet Explorer를 이용하여 검색 사이트에서 검색을 시도할 경우 좌측 사이드바에 Auction 오픈쇼핑 관련 상품 정보를 노출시키는 동작을 확인할 수 있습니다.

해당 사이드바 상단에서는 [Auction Shopping FunyMall] 표기를 통해 프로그램 설치 여부를 확인할 수 있습니다.

해당 상품 광고를 클릭할 경우 링크프라이스(LinkPrice) 광고 코드가 삽입된 경로를 통하여 사용자가 물품 구매 등의 행위가 발생할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 보입니다.

프로그램의 세부적 정보를 살펴보면 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 FunyMall.dll 파일을 BHO 방식으로 추가하여 사용자 키워드 감시를 통한 사이드바 광고 출력 행위를 하도록 구성되어 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [Auction Shopping FunyMall] 삭제 항목을 통해 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%(사용자 계정)%\Application Data\FunyMall] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\FunyMall.DLL
HKEY_CLASSES_ROOT\AppID\{5E50D1EF-9E7E-4456-A58C-52770F6783D7}
HKEY_CLASSES_ROOT\CLSID\{26E9F120-A74D-43F0-9404-8C1BC3CDDE10}
HKEY_CLASSES_ROOT\CLSID\{6C327875-C031-4397-B532-4B82F8F1F1A3}
HKEY_CLASSES_ROOT\FunyMall.FunyMallDoc
HKEY_CLASSES_ROOT\FunyMall.FunyMallDoc.1
HKEY_CLASSES_ROOT\FunyMall.GuideObj
HKEY_CLASSES_ROOT\FunyMall.GuideObj.1
HKEY_CLASSES_ROOT\Interface\{47050D55-1D25-4894-A9C8-7282F1BF0E36}
HKEY_CLASSES_ROOT\Interface\{E93C2241-B598-4261-8780-AAED2D6D5BBE}
HKEY_CLASSES_ROOT\TypeLib\{DE33A0AD-7445-4212-B22B-9A3CBF690B0F}
HKEY_CURRENT_USER\Software\AppDataLow\Software\FunyMall
HKEY_CURRENT_USER\Software\FunyMall
HKEY_LOCAL_MACHINE\SOFTWARE\FunyMall
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{6C327875-C031-4397-B532-4B82F8F1F1A3}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - FunyMall = "C:\Program Files\FunyMall Auction Works\FunyMallUpdate.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
FunyMall