본문 바로가기

벌새::Analysis

적립금 프로그램 : 세이브텐(SaveTen) 1.1

반응형
국내에서 제작된 적립금 프로그램 세이브텐(SaveTen) 1.1 서비스에 대해 살펴보도록 하겠습니다.

해당 프로그램은 ActiveX 설치 방식과 Setup 설치 파일(MD5 : 3f3653c085a785f6d96ce96dd251b4cc) 방식으로 배포가 이루어지고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 26/41) 진단명으로 진단을 하고 있습니다.

[관련 URL 정보]

h**p://end***.com/nzell_app/reward.chk
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=1
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=4
h**p://www.save***.co.kr/reward/saveten01/update.php
h**p://update.sol***.co.kr/saveten_update_20100128.exe
h**p://www.save***.co.kr/count/update.php?pid=saveten&kind=3


[생성 파일 진단 정보]

C:\Program Files\saveten\Host.dll (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\IEProcess.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\saveten.dll (Kaspersky : Trojan-Clicker.Win32.Agent.kxo)
C:\Program Files\saveten\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\savetenup.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\WINDOWS\system32\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)

해당 프로그램은 Windows 시작시 savetenup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 다음과 같은 외부 연결을 통해 프로그램 업데이트 정보를 체크한 후 자동으로 종료되도록 구성되어 있습니다.

[savetenup.exe 네트워크 연결 정보]

GET /reward/saveten01/update.php HTTP/1.1
User-Agent: mymile
Host: www.saveten.co.kr
Cache-Control: no-cache


프로그램의 동작 방식은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스의 자식으로 IEProcess.exe 프로세스가 생성되며, iexplore.exe 프로세에는 saveten.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있습니다.

프로그램의 성격이 해당 서비스 업체에 회원 가입을 통한 특정 인터넷 쇼핑몰에서 상품 구매시 적립금이 생기는 방식으로 보이므로 단순히 프로그램 설치 행위로는 시스템 자원 낭비 이외에는 필요가 없으므로 삭제를 권장합니다.


프로그램을 삭제하기 위해서는 제어판의 [세이브텐 1.1] 삭제 항목이 존재하지만 해당 기능을 이용하여 삭제를 시도할 경우 프로그램 업체 웹 사이트로 이동하여 삭제 파일을 다운로드하는 방식으로 구성되어 있습니다.


삭제 페이지에서는 삭제를 원할 경우 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.] 항목을 선택하시고 [확인] 버튼을 클릭하시면 프로그램 삭제 관련 ActiveX 파일을 통해 삭제 단계로 진입하도록 되어 있습니다.

하지만 일부 시스템 환경에서는 좌측 그림의 메시지가 생성되어도 프로그램 삭제 화면이 나오지 않는 현상이 발생하는데, 이는 해당 프로그램이 ActiveX 설치창을 통한 유포로 인해 해당 ActiveX 설치를 사전에 차단한 사용자의 경우에는 제거 동작에 방해를 받고 있습니다.

그러므로 다음의 레지스트리 항목을 확인하여 [Compatibility Flags] 등록값 400을 0으로 변경하시고 삭제를 시도하시기 바랍니다.

[세이브텐 1.1 ActiveX 차단 등록 레지스트리 항목]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
 - Compatibility Flags = 400 : 변경 전
 - Compatibility Flags = 0 : 변경 후

※ 프로그램 삭제 후에는 변경 전(400)으로 다시 수정하시기 바랍니다.


[프로그램 삭제 관련 URL 정보]

h**p://www.save***.co.kr/uninstall/activex.php
h**p://www.save***.co.kr/activeX/svtemAX.cab

정상적인 프로그램 삭제가 이루어질 경우에 생성되는 화면이며, 프로그램 삭제 후에는 추가적으로 [C:\Program Files\saveten] 폴더를 수동으로 삭제하시기 바랍니다.

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\saveten.DLL
HKEY_CLASSES_ROOT\AppID\{0F5CE210-64C6-4D94-B2E9-082FDA53BA43}
HKEY_CLASSES_ROOT\CLSID\{A773CA8B-164C-46CE-A08C-631A33216D38}
HKEY_CLASSES_ROOT\CLSID\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_CLASSES_ROOT\CLSID\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
HKEY_CLASSES_ROOT\Interface\{12F27066-AED4-48A3-9D1C-3DDE48552C51}
HKEY_CLASSES_ROOT\Interface\{A5CD9966-BCC9-4F83-A36B-8FE933F95551}
HKEY_CLASSES_ROOT\Interface\{D94E88E2-9AED-4B09-8893-E9AD215D8C4B}
HKEY_CLASSES_ROOT\saveten.savetenBHO
HKEY_CLASSES_ROOT\saveten.savetenBHO.1
HKEY_CLASSES_ROOT\SAVETENAX.savetenAXCtrl.1
HKEY_CLASSES_ROOT\TypeLib\{BEE48DBC-D5EF-4439-8ACE-FDEAC3F66269}
HKEY_CURRENT_USER\Software\saveten
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - saveten = C:\Program Files\saveten\savetenup.exe

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\saveten uninstall
HKEY_LOCAL_MACHINE\software\saveten

해당 프로그램 역시 설치된 시스템 환경에서는 프로그램 목록에서 프로그램 존재를 확인할 수 없으므로 제어판을 통한 확인을 하여야 하며, 현재 안철수연구소 V3 보안 제품에서 정확하게 진단이 이루어지고 있으므로 참고하시기 바랍니다.
728x90
반응형
  • 아ㅜㅜ 2010.05.31 15:42 댓글주소 수정/삭제 댓글쓰기

    레지스트리 어쩌구 0 으로 바꿧는데도 안되요 ㅜㅜㅜ
    제발 알려주세요

    • 0으로 변경하시고 웹브라우저를 완전히 닫은 상태에서 제어판의 삭제 항목으로 접근하여 삭제를 다시 시도해 보시기 바랍니다.

      정 안되시면 V3 Lite를 통해 시스템 정밀 검사를 권장합니다.

  • 아ㅜㅜ 2010.05.31 18:58 댓글주소 수정/삭제 댓글쓰기

    저도 레지0으로바꿧는데도 안되는데..
    삭제누르면 인터넷창뜨면서 아니오적립금필요없이삭제하겠습니다
    이거누루고 확인누르면 그다음에멈춰요
    V3정밀검사로 어떠케삭제해요?
    아이거 죤나찝찝

    • 안녕하세요.

      프로그램에서 제공하는 삭제 기능이 되지 않는다면 수동으로 삭제하시기 바랍니다.

      Internet Explorer를 종료하신 상태에서 해당 파일과 레지스트리를 수동으로 제거하시기 바랍니다.

      V3를 이용할 경우에는 해당 프로그램으로 정밀 검사를 하시면 자동으로 진단되어 치료할지 여부를 결정할 수 있습니다.

  • 아ㅜㅜ 2010.05.31 19:03 댓글주소 수정/삭제 댓글쓰기

    위에 레지스트리항목 폴더자체를 완전히삭제하면되요?
    어제부터 깔려있었는데 V3정밀검사해서 바이러스뜨는거 치료해도
    삭제는 되지않던데..ㅠㅠ

    • 네~ 폴더 자체를 삭제하시고 레지 항목을 잘 확인하시면서 삭제를 하시면 됩니다.^^

      앗~ 지금보니 제가 레지스트리 정보를 추가하지 않았군요.

      내용 수정을 하겠습니다.

      레지스트리 정보는 생성 레지스트리 정보를 참고해서 삭제하시기 바랍니다.

  • 이정일 2010.05.31 21:05 댓글주소 수정/삭제 댓글쓰기

    제가 웹하드가 바이러스가 엄청 많다는건 아는데 친구가 워크하자고해서 ㅜ

    아무튼 이게 깔렸는데요. 0으로 만들었는데 사이트가드에 걸리더군요 바이러스 프로그램 두개가 그래서 못삭제해서 직접 폴더를 삭제 했는데 괜찬은지요?

    아 그리고 프로세서에 이상한게 자꾸 생기는데 그건 어떡해 하나요?

    던전앤 파이터라는 게임을 하는데 그게임이 너무 해킹이 잘되서 해킹툴생기면 너무 걱정이에요.

    • 안녕하세요.

      폴더를 삭제하시고 레지를 삭제하시면 됩니다.

      사이트가드에서 걸렸다는 것은 진단을 한다는 것 같은데 보안 제품을 통해서도 해결이 되지 않나 생각됩니다.

  • 이정일 2010.05.31 21:06 댓글주소 수정/삭제 댓글쓰기

    프로세서에 자동으로 생기는건 어떡게 막나요?

    세이브텐에서 프로세서 이상한거 생기는건 없겠지요?

    • 프로세스에 사용자가 모르는 악성 프로그램이 실행되어 생성된다면 이는 해당 프로그램이 자동으로 실행되도록 등록한 정보가 있기 때문이겠죠.

      그러므로 이런 프로그램을 찾아서 제거를 해야지 문제가 해결됩니다.

      특별히 사용자가 예방을 위해서는 온라인 게임을 안하면 절대로 게임핵 같은 것을 이용하지 마시기 바랍니다.

      그리고 Windows 보안 패치 등 자신이 사용하는 프로그램의 최신 업데이트를 꾸준하게 확인하여 업데이트를 하는 것만으로도 게임 자체 서버가 해킹 당하지 않는 이상 개인이 해킹 당할 위험성은 많이 낮지 않나 생각됩니다.

      마지막으로 온라인 게임의 계정 비밀번호는 반드시 다른 사이트와 동일하거나 유사한 것을 사용하지 마세요. 타 사이트가 해킹되어 온라인 게임 사이트에 영향을 줄 수 있습니다.

  • 정말미치겟네요.. 안랩 사이트 가드에서 막혀요.. 그래서 삭제창도 안뜨고요.. 수동으로 따로 삭제하는 방법을 모르겟어요 c드라이브에도 없는것같고 프로그램 추가제거창에만있네요..

    • 안녕하세요.

      사이트가드에서 막힌다는 것은 해당 보안 제품이 진단하는 파일을 동작했기 때문입니다.

      사이트가드를 잠시 비활성화하시고 제거를 하시는 것이 올바른 방법 같습니다.

      그리고 사이트가드가 아닌 V3 보안 제품은 실시간 감시용으로 사용 안하시는지요?

      V3 제품에서 진단할 것 같은데 왜 자꾸 사이트가드 이야기만 하시는지 모르겠군요.

      그리고 파일은 분명히 제가 제시한 위치에 있습니다.

      그게 아니라면 이미 보안 제품에서 해당 파일들은 제거하고 삭제 항목 부분만 남아 있는게 아닌가 추정됩니다.

      이 경우에는 레지스트리에서 HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\saveten uninstall 항목을 찾아서 제거하시기 바랍니다.

  • 아나 2010.06.01 03:41 댓글주소 수정/삭제 댓글쓰기

    생성레지스트리항목에 써놓은폴더
    다삭제해야되나요?