본문 바로가기

벌새::Analysis

검색 도우미 : OpenShopper

728x90
반응형
국내에서 제작된 검색 도우미 OpenShopper 프로그램에 대해 살펴보도록 하겠습니다.

테스트에서는 국내 웹하드 제휴(스폰서) 프로그램으로 설치되는 설치 파일(MD5 : 616f988d8b7d66179321886ec8b23284)을 이용하였으며, 하우리 바이로봇(Hauri ViRobot) 보안 제품에서는 Adware.OpenShopper.498992 (VirusTotal : 3/41) 진단명으로 진단되는 것을 확인할 수 있습니다.
[관련 URL 정보]

h**p://sub.*****.co.kr/optoolbar/sharebox/OpenShopperC.dat
h**p://sub.*****.co.kr/optoolbar/sharebox/ROS.exe
h**p://sub.*****.co.kr/optoolbar/sharebox/OpenShopperC.dat
h**p://sub.*****.co.kr/optoolbar/KeywordD.dat
h**p://sub.*****.co.kr/optoolbar/SiteD.dat
h**p://auction.****.co.kr/mmsv/Access.php

해당 프로그램은 Windows 시작시 OpenShopperC.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.
프로그램의 기본적인 동작 방식은 사용자가 인터넷 검색 사이트에서 검색을 시도할 경우 웹 브라우저 상단의 툴바(Toolbar) 형태로 검색어와 관련된 상품 정보를 노출하여 (주)이베이옥션에서 서비스하는 종합 쇼핑 검색 사이트 About으로 연결을 시도하고 있습니다.
해당 프로그램이 설치된 환경에서는 프로그램 목록에 해당 프로그램이 존재하지 않으므로 웹 브라우저 상의 메뉴 여백에 마우스 우클릭을 통한 [OpenShopper] 항목을 통해 설치 여부를 확인할 수 있습니다.

일반적으로 웹 브라우저 상에서만 동작하는 프로그램의 경우 프로그램 목록에는 제시되지 않고, 제어판의 프로그램 추가/삭제 항목에서만 확인이 가능하여 실제 동작 과정에서 어떤 프로그램으로 인해 생성된 광고인지 일반 사용자들이 알기 매우 어렵다는 점에서 인터넷 서비스를 이용하기 위한 프로그램 설치시에는 추가적으로 설치될 수 있는 제휴(스폰서) 프로그램의 여부를 설치 과정에서 꼼꼼하게 확인하는 습관이 필요합니다.
 .

해당 프로그램은 Internet Explorer가 실행될 경우 iexplore.exe 프로세스에 OpenShopper.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.

 

프로그램 삭제시에는 반드시 Internet Explorer를 비롯한 모든 프로그램을 종료한 상태에서 제어판의 [OpenShopper] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(Random 7자리 숫자).exe] 파일을 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\OpenShopper.DLL
HKEY_CLASSES_ROOT\AppID\{34BB38A5-06AC-4AA5-B19D-74B770925C6F}
HKEY_CLASSES_ROOT\CLSID\{0BFBB2F0-4BDA-4E8D-9EF4-A2358E9525ED}
HKEY_CLASSES_ROOT\CLSID\{A3F28548-3C77-410A-96CC-141321825248}
HKEY_CLASSES_ROOT\Interface\{D941A69E-0F03-4E41-899A-5FB3E9AF7284}
HKEY_CLASSES_ROOT\Interface\{F86C5F7F-B67A-4C74-B13D-A3AA6654C340}
HKEY_CLASSES_ROOT\OpenShopper.OpenShopperOBJ
HKEY_CLASSES_ROOT\OpenShopper.OpenShopperOBJ.1
HKEY_CLASSES_ROOT\OpenShopper.OpenShopperToolbar
HKEY_CLASSES_ROOT\OpenShopper.OpenShopperToolbar.1
HKEY_CLASSES_ROOT\TypeLib\{B142E53F-E3F8-40E2-A6BC-3BB39E899BFF}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - OpenShopper = C:\Program Files\OpenShopper\OpenShopperC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\OpenShopper
HKEY_CURRENT_USER\Software\ROS
HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\Toolbar
 - {0BFBB2F0-4BDA-4E8D-9EF4-A2358E9525ED} = OpenShopper
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A3F28548-3C77-410A-96CC-141321825248}

 

728x90
반응형