728x90
반응형
국내에서 제작된 적립금 프로그램 세이브텐(SaveTen) 1.1 서비스에 대해 살펴보도록 하겠습니다.
해당 프로그램은 ActiveX 설치 방식과 Setup 설치 파일(MD5 : 3f3653c085a785f6d96ce96dd251b4cc) 방식으로 배포가 이루어지고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 26/41) 진단명으로 진단을 하고 있습니다.
해당 프로그램은 Windows 시작시 savetenup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 다음과 같은 외부 연결을 통해 프로그램 업데이트 정보를 체크한 후 자동으로 종료되도록 구성되어 있습니다.
프로그램의 동작 방식은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스의 자식으로 IEProcess.exe 프로세스가 생성되며, iexplore.exe 프로세에는 saveten.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있습니다.
프로그램의 성격이 해당 서비스 업체에 회원 가입을 통한 특정 인터넷 쇼핑몰에서 상품 구매시 적립금이 생기는 방식으로 보이므로 단순히 프로그램 설치 행위로는 시스템 자원 낭비 이외에는 필요가 없으므로 삭제를 권장합니다.
프로그램을 삭제하기 위해서는 제어판의 [세이브텐 1.1] 삭제 항목이 존재하지만 해당 기능을 이용하여 삭제를 시도할 경우 프로그램 업체 웹 사이트로 이동하여 삭제 파일을 다운로드하는 방식으로 구성되어 있습니다.
삭제 페이지에서는 삭제를 원할 경우 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.] 항목을 선택하시고 [확인] 버튼을 클릭하시면 프로그램 삭제 관련 ActiveX 파일을 통해 삭제 단계로 진입하도록 되어 있습니다.
하지만 일부 시스템 환경에서는 좌측 그림의 메시지가 생성되어도 프로그램 삭제 화면이 나오지 않는 현상이 발생하는데, 이는 해당 프로그램이 ActiveX 설치창을 통한 유포로 인해 해당 ActiveX 설치를 사전에 차단한 사용자의 경우에는 제거 동작에 방해를 받고 있습니다.
그러므로 다음의 레지스트리 항목을 확인하여 [Compatibility Flags] 등록값 400을 0으로 변경하시고 삭제를 시도하시기 바랍니다.
정상적인 프로그램 삭제가 이루어질 경우에 생성되는 화면이며, 프로그램 삭제 후에는 추가적으로 [C:\Program Files\saveten] 폴더를 수동으로 삭제하시기 바랍니다.
해당 프로그램 역시 설치된 시스템 환경에서는 프로그램 목록에서 프로그램 존재를 확인할 수 없으므로 제어판을 통한 확인을 하여야 하며, 현재 안철수연구소 V3 보안 제품에서 정확하게 진단이 이루어지고 있으므로 참고하시기 바랍니다.
해당 프로그램은 ActiveX 설치 방식과 Setup 설치 파일(MD5 : 3f3653c085a785f6d96ce96dd251b4cc) 방식으로 배포가 이루어지고 있으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.BHO (VirusTotal : 26/41) 진단명으로 진단을 하고 있습니다.
[관련 URL 정보]
h**p://end***.com/nzell_app/reward.chk
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=1
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=4
h**p://www.save***.co.kr/reward/saveten01/update.php
h**p://update.sol***.co.kr/saveten_update_20100128.exe
h**p://www.save***.co.kr/count/update.php?pid=saveten&kind=3
h**p://end***.com/nzell_app/reward.chk
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=1
h**p://www.save***.co.kr/count/insert.php?pid=saveten&kind=4
h**p://www.save***.co.kr/reward/saveten01/update.php
h**p://update.sol***.co.kr/saveten_update_20100128.exe
h**p://www.save***.co.kr/count/update.php?pid=saveten&kind=3
[생성 파일 진단 정보]
C:\Program Files\saveten\Host.dll (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\IEProcess.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\saveten.dll (Kaspersky : Trojan-Clicker.Win32.Agent.kxo)
C:\Program Files\saveten\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\savetenup.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\WINDOWS\system32\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\Host.dll (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\IEProcess.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\saveten.dll (Kaspersky : Trojan-Clicker.Win32.Agent.kxo)
C:\Program Files\saveten\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)
C:\Program Files\saveten\savetenup.exe (AhnLab V3 : Adware/Win32.Seveten)
C:\WINDOWS\system32\savetenAX.ocx (AhnLab V3 : Adware/Win32.Seveten)
해당 프로그램은 Windows 시작시 savetenup.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 다음과 같은 외부 연결을 통해 프로그램 업데이트 정보를 체크한 후 자동으로 종료되도록 구성되어 있습니다.
[savetenup.exe 네트워크 연결 정보]
GET /reward/saveten01/update.php HTTP/1.1
User-Agent: mymile
Host: www.saveten.co.kr
Cache-Control: no-cache
GET /reward/saveten01/update.php HTTP/1.1
User-Agent: mymile
Host: www.saveten.co.kr
Cache-Control: no-cache
프로그램의 동작 방식은 사용자가 Internet Explorer를 실행할 경우 iexplore.exe 프로세스의 자식으로 IEProcess.exe 프로세스가 생성되며, iexplore.exe 프로세에는 saveten.dll 파일을 BHO 방식으로 추가하여 동작하도록 구성되어 있습니다.
프로그램의 성격이 해당 서비스 업체에 회원 가입을 통한 특정 인터넷 쇼핑몰에서 상품 구매시 적립금이 생기는 방식으로 보이므로 단순히 프로그램 설치 행위로는 시스템 자원 낭비 이외에는 필요가 없으므로 삭제를 권장합니다.
프로그램을 삭제하기 위해서는 제어판의 [세이브텐 1.1] 삭제 항목이 존재하지만 해당 기능을 이용하여 삭제를 시도할 경우 프로그램 업체 웹 사이트로 이동하여 삭제 파일을 다운로드하는 방식으로 구성되어 있습니다.
삭제 페이지에서는 삭제를 원할 경우 [아니오. 적립금에 관계없이 플러그인을 삭제하겠습니다.] 항목을 선택하시고 [확인] 버튼을 클릭하시면 프로그램 삭제 관련 ActiveX 파일을 통해 삭제 단계로 진입하도록 되어 있습니다.
하지만 일부 시스템 환경에서는 좌측 그림의 메시지가 생성되어도 프로그램 삭제 화면이 나오지 않는 현상이 발생하는데, 이는 해당 프로그램이 ActiveX 설치창을 통한 유포로 인해 해당 ActiveX 설치를 사전에 차단한 사용자의 경우에는 제거 동작에 방해를 받고 있습니다.
그러므로 다음의 레지스트리 항목을 확인하여 [Compatibility Flags] 등록값 400을 0으로 변경하시고 삭제를 시도하시기 바랍니다.
[세이브텐 1.1 ActiveX 차단 등록 레지스트리 항목]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
- Compatibility Flags = 400 : 변경 전
- Compatibility Flags = 0 : 변경 후
※ 프로그램 삭제 후에는 변경 전(400)으로 다시 수정하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
- Compatibility Flags = 400 : 변경 전
- Compatibility Flags = 0 : 변경 후
※ 프로그램 삭제 후에는 변경 전(400)으로 다시 수정하시기 바랍니다.
[프로그램 삭제 관련 URL 정보]
h**p://www.save***.co.kr/uninstall/activex.php
h**p://www.save***.co.kr/activeX/svtemAX.cab
h**p://www.save***.co.kr/uninstall/activex.php
h**p://www.save***.co.kr/activeX/svtemAX.cab
정상적인 프로그램 삭제가 이루어질 경우에 생성되는 화면이며, 프로그램 삭제 후에는 추가적으로 [C:\Program Files\saveten] 폴더를 수동으로 삭제하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\AppID\saveten.DLL
HKEY_CLASSES_ROOT\AppID\{0F5CE210-64C6-4D94-B2E9-082FDA53BA43}
HKEY_CLASSES_ROOT\CLSID\{A773CA8B-164C-46CE-A08C-631A33216D38}
HKEY_CLASSES_ROOT\CLSID\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_CLASSES_ROOT\CLSID\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
HKEY_CLASSES_ROOT\Interface\{12F27066-AED4-48A3-9D1C-3DDE48552C51}
HKEY_CLASSES_ROOT\Interface\{A5CD9966-BCC9-4F83-A36B-8FE933F95551}
HKEY_CLASSES_ROOT\Interface\{D94E88E2-9AED-4B09-8893-E9AD215D8C4B}
HKEY_CLASSES_ROOT\saveten.savetenBHO
HKEY_CLASSES_ROOT\saveten.savetenBHO.1
HKEY_CLASSES_ROOT\SAVETENAX.savetenAXCtrl.1
HKEY_CLASSES_ROOT\TypeLib\{BEE48DBC-D5EF-4439-8ACE-FDEAC3F66269}
HKEY_CURRENT_USER\Software\saveten
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- saveten = C:\Program Files\saveten\savetenup.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\saveten uninstall
HKEY_LOCAL_MACHINE\software\saveten
HKEY_CLASSES_ROOT\AppID\saveten.DLL
HKEY_CLASSES_ROOT\AppID\{0F5CE210-64C6-4D94-B2E9-082FDA53BA43}
HKEY_CLASSES_ROOT\CLSID\{A773CA8B-164C-46CE-A08C-631A33216D38}
HKEY_CLASSES_ROOT\CLSID\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_CLASSES_ROOT\CLSID\{F65910EF-593F-4DD0-93BC-6DECE48663C0}
HKEY_CLASSES_ROOT\Interface\{12F27066-AED4-48A3-9D1C-3DDE48552C51}
HKEY_CLASSES_ROOT\Interface\{A5CD9966-BCC9-4F83-A36B-8FE933F95551}
HKEY_CLASSES_ROOT\Interface\{D94E88E2-9AED-4B09-8893-E9AD215D8C4B}
HKEY_CLASSES_ROOT\saveten.savetenBHO
HKEY_CLASSES_ROOT\saveten.savetenBHO.1
HKEY_CLASSES_ROOT\SAVETENAX.savetenAXCtrl.1
HKEY_CLASSES_ROOT\TypeLib\{BEE48DBC-D5EF-4439-8ACE-FDEAC3F66269}
HKEY_CURRENT_USER\Software\saveten
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B72E4B44-A420-4D51-864B-A35767BFE84B}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
- saveten = C:\Program Files\saveten\savetenup.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\saveten uninstall
HKEY_LOCAL_MACHINE\software\saveten
해당 프로그램 역시 설치된 시스템 환경에서는 프로그램 목록에서 프로그램 존재를 확인할 수 없으므로 제어판을 통한 확인을 하여야 하며, 현재 안철수연구소 V3 보안 제품에서 정확하게 진단이 이루어지고 있으므로 참고하시기 바랍니다.
728x90
반응형