반응형
국내에서 제작된 검색 도우미 오픈샵(OpenShop) - 옥션 오픈쇼핑 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램(MD5 : 8cf3b40cd0347a1f85584e5765e5c74a)은 제휴(스폰서) 프로그램 방식으로 배포하는 과정에서는 [오픈샵]으로 표기를 하고 있으며, 프로그램 설치시에는 [옥션 오픈쇼핑]으로 프로그램 이름을 표기하고 있습니다.
하지만 설치시 이용약관 제시는 정상적으로 하면서도 실제 설치된 폴더명 또는 제어판의 삭제 항목 이름이 서로 다르게 표기되고 있으므로 삭제시 어려움이 예상됩니다.
해당 프로그램은 [osbwbar] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 osbwbarupd.exe 파일을 시작 프로그램으로 등록하여 생성 파일 버전 체크 및 카운터(Counter) 기능을 수행한 후 스스로 종료되도록 구성되어 있습니다.
프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행하여 인터넷 검색 사이트를 검색어를 입력할 경우, 그림과 같이 상단바에 검색어 관련 상품 링크가 출력되는 것을 확인할 수 있습니다.
해당 상단바에서는 어떤 프로그램으로 인한 동작인지 추가적인 정보 표시가 없으며, 해당 추천 링크를 클릭할 경우 옥션(Auction) 오픈쇼핑 관련 사이트로 연결되는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer 실행을 통해 생성된 iexplore.exe 프로세스에 osbwbar.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [openshop] 삭제 항목을 이용하여 삭제하실 수 있습니다.
해당 프로그램(MD5 : 8cf3b40cd0347a1f85584e5765e5c74a)은 제휴(스폰서) 프로그램 방식으로 배포하는 과정에서는 [오픈샵]으로 표기를 하고 있으며, 프로그램 설치시에는 [옥션 오픈쇼핑]으로 프로그램 이름을 표기하고 있습니다.
하지만 설치시 이용약관 제시는 정상적으로 하면서도 실제 설치된 폴더명 또는 제어판의 삭제 항목 이름이 서로 다르게 표기되고 있으므로 삭제시 어려움이 예상됩니다.
해당 프로그램은 [osbwbar] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 osbwbarupd.exe 파일을 시작 프로그램으로 등록하여 생성 파일 버전 체크 및 카운터(Counter) 기능을 수행한 후 스스로 종료되도록 구성되어 있습니다.
[osbwbarupd.exe 파일 네트워크 연결 정보]
GET /pgm/oslist.dat HTTP/1.1
Host: open-shop.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
GET /pgm/oslist.dat HTTP/1.1
Host: open-shop.kr
Accept: text/html, */*
User-Agent: Mozilla/3.0 (compatible; Indy Library)
프로그램이 설치된 환경에서 사용자가 Internet Explorer를 실행하여 인터넷 검색 사이트를 검색어를 입력할 경우, 그림과 같이 상단바에 검색어 관련 상품 링크가 출력되는 것을 확인할 수 있습니다.
해당 상단바에서는 어떤 프로그램으로 인한 동작인지 추가적인 정보 표시가 없으며, 해당 추천 링크를 클릭할 경우 옥션(Auction) 오픈쇼핑 관련 사이트로 연결되는 것을 확인할 수 있습니다.
프로세스 정보를 살펴보면 Internet Explorer 실행을 통해 생성된 iexplore.exe 프로세스에 osbwbar.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [openshop] 삭제 항목을 이용하여 삭제하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{56138FF0-BE39-494B-AD83-98515A2C6FF9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56138FF0-BE39-494B-AD83-98515A2C6FF9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- openshop = "C:\Program Files\osbwbar\osbwbarupd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\openshop
HKEY_LOCAL_MACHINE\SOFTWARE\osbwbar
HKEY_CLASSES_ROOT\CLSID\{56138FF0-BE39-494B-AD83-98515A2C6FF9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{56138FF0-BE39-494B-AD83-98515A2C6FF9}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- openshop = "C:\Program Files\osbwbar\osbwbarupd.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\openshop
HKEY_LOCAL_MACHINE\SOFTWARE\osbwbar
728x90
반응형
대체 어떤 경로로 숨어드는걸까요... 덕분에 깔끔허게 지웠습니다. 고맙습니다.
보통 사용자들의 눈을 속이죠.
특히 A라는 프로그램을 설치하는 과정에서 B라는 파일 몰래 추가되고 시간이 지나면 B가 저런 프로그램을 설치하고.. 다양합니다.ㅠㅠ