울지않는벌새 : Security, Movie & Society

검색 도우미 : 옥션 쇼핑 안내(AUShop Info)

벌새::Analysis
국내에서 제작된 검색 도우미 옥션 쇼핑 안내(AUShop Info) 프로그램에 대해 살펴보도록 하겠습니다.

옥션 오픈 쇼핑과 관련된 해당 프로그램들은 다양한 이름으로 배포가 되고 있으며, 옥션(Auction)에서 제공되는 프로그램으로 오해를 할 수 있으므로 주의하시기 바랍니다.

해당 프로그램은 설치시 사용자에게 어떠한 화면 정보를 제공하지 않고 설치가 되고 있으며, Setup 설치 파일(MD5 : d32876346243c081503080bdcec38a47)에 대하여 Kaspersky 보안 제품에서는 Trojan.Win32.BHO.aefl (VirusTotal : 10/42) 진단명으로 진단을 하는 것을 확인할 수 있습니다.

해당 프로그램은 [AuShopInfo] 폴더에 프로그램을 설치하며, Windows 시작시 AuShopInfoUpdate.exe 파일을 시작 프로그램으로 등록하여 자동 실행하여 프로그램 업데이트 정보 체크 등의 동작을 한 후 스스로 종료되도록 구성되어 있습니다.

해당 프로그램이 설치된 환경에서 사용자가 Internet Explorer를 통해 검색 사이트에서 검색을 시도할 경우, 좌측 사이드바에 옥션 오픈 쇼핑 관련 상품 정보를 노출시키는 동작을 확인할 수 있습니다.

해당 사이드바 상단에서는 [옥션 쇼핑 안내] 표기를 통해 프로그램 설치 여부를 확인할 수 있습니다.

사이드바에 노출된 광고는 사용자가 해당 링크를 통해 접근시 링크프라이스(LinkPrice) 광고 코드를 통해 접근하여 구매 행위 등이 발생할 경우 프로그램 배포자에게 수익이 발생할 것으로 추정됩니다.

프로그램의 세부적인 정보를 확인해보면 Internet Explorer를 실행할 경우 iexplore.exe 프로세스에 AuShopInfo.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 사이드바 광고를 출력하도록 구성되어 있습니다.

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서, 제어판의 [옥션 쇼핑안내] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [%(사용자 계정)%\Application Data\aushopinfo] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\AuShopInfo.DLL
HKEY_CLASSES_ROOT\AppID\{2333153D-AA32-4FDE-9884-A745942274C5}
HKEY_CLASSES_ROOT\AuShopInfo.AuShopInfoCenter
HKEY_CLASSES_ROOT\AuShopInfo.AuShopInfoCenter.1
HKEY_CLASSES_ROOT\AuShopInfo.GuideShopInfo
HKEY_CLASSES_ROOT\AuShopInfo.GuideShopInfo.1
HKEY_CLASSES_ROOT\CLSID\{96B4FBEF-C961-44D3-A992-E117289316D9}
HKEY_CLASSES_ROOT\CLSID\{BFE11FC4-E20C-49E1-B368-8888CA3636E8}
HKEY_CLASSES_ROOT\Interface\{CC378421-4B5F-4DF0-B8B8-A12C9F548FE6}
HKEY_CLASSES_ROOT\Interface\{F4F5FDE9-793D-4542-AF2C-FADC074E7D56}
HKEY_CLASSES_ROOT\TypeLib\{B1239423-B0F7-4C8D-B908-6D74A0FBAFFD}
HKEY_CURRENT_USER\Software\AppDataLow\Software\AuShopInfo
HKEY_CURRENT_USER\Software\AuShopInfo
HKEY_LOCAL_MACHINE\software\AuShopInfo
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{96B4FBEF-C961-44D3-A992-E117289316D9}

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - AuShopInfo = C:\Program Files\AuShopInfo\AuShopInfoUpdate.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\
AuShopInfo