본문 바로가기

벌새::Analysis

Domain Sponsor Reword Program 설치창을 생성하는 국내 ActiveX 설치 주의

반응형
국내에서 제공하는 특정 단축 URL 서비스의 특정 도메인에 접속할 경우 Sponsor Reword 관련 ActiveX 설치창을 생성하여 접속자들에게 설치를 유도하고 있습니다.

이번 ActiveX는 기존에 알려진 SXGuide와 관련된 도메인이 포함되어 있기에 변종으로 추정되므로 참고하시기 바랍니다.

[Sponsor Reword ActiveX 설치 경로]

h**p://man***.***.kr/security_y.php
 - h**p://www.toto***.co.kr/app/bun/main.cab

해당 ActiveX 설치 게시자 [Ria Engineering & Construction Corp.]는 유효한 디지털 서명이지만, 서명 시간과 연대 서명이 제외되어 있다는 점에서 신뢰하기 어려워 보입니다.

[ActiveX 설치 생성 파일 등록 정보]

C:\WINDOWS\Downloaded Program Files\main.ocx
C:\WINDOWS\Downloaded Program Files\uac.inf
C:\WINDOWS\Downloaded Program Files\uac.ocx

ActiveX가 설치된 환경에서는 해당 ActiveX 설치창을 생성하는 사이트에 접속시마다 그림과 같은 [Domain Sponsor Reword Program] 설치창을 매번 생성하는 동작을 확인할 수 있습니다.(만약 ActiveX 설치로 인하여 해당 창이 생성된 경우 반드시 [취소] 버튼을 클릭하여 제휴(스폰서) 프로그램이 설치되지 않도록 하시기 바랍니다.)

참고로 해당 설치창은 해당 제공하는 프로그램을 모두 설치한 환경에서도 계속적으로 생성되는 특징이 있습니다.

Internet Explorer에서 제공하는 추가 기능 관리 항목에서는 게시자를 알 수 없는 [UacFactory Control] 항목으로 등록되어 [C:\WINDOWS\Downloaded Program Files\uac.ocx] 파일과 연결되어 있는 것을 확인할 수 있습니다.

설치창에서는 [Sponser reword] 프로그램은 필수 설치 프로그램으로 고정되어 있으며, 추가적으로 3개의 제휴(스폰서) 프로그램을 사용자가 선택할 수 있도록 구성되어 있습니다.

만약 사용자가 해당 설치창에서 제공하는 모든 제휴(스폰서) 프로그램을 설치할 경우 총 4개의 프로그램이 다음의 폴더에 설치되는 것을 확인할 수 있습니다.(해당 프로그램들에 대해서는 차후 살펴보도록 하겠습니다.)

[Domain Sponsor Reword Program 설치 폴더 정보]

C:\Program Files\onescan : 개인정보 보안 솔루션 OneScan 프로그램
C:\Program Files\S2Xguide : Sponser Reword 프로그램(필수)
C:\Program Files\SmartKeyword : 스마트키워드(SmartKeyword) 프로그램
C:\Program Files\wiselinkbar : 와이즈링크(Wiselinkbar) 프로그램


해당 ActiveX 컨트롤러를 삭제하기 위해서는 다음과 같은 방식으로 파일과 레지스트리를 을 삭제하시기 바랍니다.

[Sponsor Reword ActiveX 생성 파일 삭제 방법]

1. 시작 - 실행 - cmd

2. cd C:\WINDOWS\Downloaded Program Files

3. del main.ocx uac.inf uac.ocx

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\{A7880853-FD79-41E5-9C9B-3C310AC85CB2}
HKEY_CLASSES_ROOT\CLSID\{89248AAE-73D7-4288-BADD-39B622896E96}
HKEY_CLASSES_ROOT\CLSID\{A7880853-FD79-41E5-9C9B-3C310AC85CB2}
HKEY_CLASSES_ROOT\Interface\{48CF43D5-BDE1-4056-BB98-1AAF8A918CC9}
HKEY_CLASSES_ROOT\Interface\{6254066E-E771-4727-8A8D-B911668201A5}
HKEY_CLASSES_ROOT\Interface\{AEAFBC15-E9CD-44E1-B625-A32D000DF83C}
HKEY_CLASSES_ROOT\Interface\{ECA62E65-BABE-4FE5-8E68-47EAE69ECB8D}
HKEY_CLASSES_ROOT\TypeLib\{461DEF63-A8C4-4F5A-B8FE-18F6FCF6069D}
HKEY_CLASSES_ROOT\TypeLib\{FAC9F62B-4758-4E1A-A809-1A1556C108F7}
HKEY_CLASSES_ROOT\UacFactoryProj1.UacFactory
HKEY_CLASSES_ROOT\UmainFactroyProj1.UmainFactroy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
{89248AAE-73D7-4288-BADD-39B622896E96}

HKEY_LOCAL_MACHINE\software\Microsoft\Code Store Database\Distribution Units\{89248AAE-73D7-4288-BADD-39B622896E96}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/main.ocx
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/uac.ocx


이번과 같이 특정 ActiveX 설치로 인하여 반복적으로 특정 프로그램을 설치 유도하는 행위는 올바른 방식이 아닌 것으로 보여지며, 특히 해당 사이트 이용과 관계없이 추가적으로 설치된 프로그램이 계속적으로 사용자가 인터넷을 이용할 경우 각종 광고, 적립금 발생 등의 동작을 할 경우에는 오히려 방해적 요소로 인식될 수 있습니다.

그러므로 인터넷 상에서 ActiveX를 설치하실 때에는 추가적인 정보를 확인하는 습관을 가지시기 바랍니다.


728x90
반응형
  • hoostory 2010.07.15 15:02 댓글주소 수정/삭제 댓글쓰기

    그새 변종이 나왔네요..
    좋은 정보 얻어 갑니다~

  • 벌새님 2010.07.26 11:54 댓글주소 수정/삭제 댓글쓰기

    정말좋은블로그네요.. 오늘 어디로 ㄷ유포됫는지는 모르지만 변종이 떠서 삭제하려고 하는데 도스박스를 열어서 위방법을 하는데 3번을 하려고하면 경로를 찾을수업다는군요.,.

    • 안녕하세요.

      아마 파일명을 변경한 것이 아닌가 생각됩니다. 또는 설치시 ActiveX 설치 방식이 아닌 exe 파일 방식인 경우에는 3번은 불필요합니다.^^

  • 벌새님 2010.07.26 12:11 댓글주소 수정/삭제 댓글쓰기

    으..그렇군요 v3으로 삭제가 되나 기대를해보아야겟어요..감사합니다..

  • vf2416 2010.10.28 00:54 댓글주소 수정/삭제 댓글쓰기

    웹표준은 2~3년 후에나 도입 된답니다ㅋ http://pann.nate.com/b202932488

  • 디카 2011.02.11 22:22 댓글주소 수정/삭제 댓글쓰기

    안그래도 제가 개인홈페이지를 사용하는데
    무료도메인을 사용해서그런가
    제 홈페이지만 들어가면
    저런 경고문이 뜨게되서 항상 난감해 했는데
    좋은정보얻고갑니다 ㅜㅜ
    개인홈페이지에뜨는건 역시 도메인을변경해야겠죠?

  • 행인 2011.06.20 13:40 댓글주소 수정/삭제 댓글쓰기

    Ria Engineering Construction Corp 로 검색하다 블로그를 들어오게 됬습니다

    라는 링크로 들어가면 저거 설치하라고 나오네요

    정상적인 URL은 http://cafe.nav---er.com/studyworld57 인데 이 카페에서 무료 도메인 쓰다보니 저런

  • 행인 2011.06.20 13:41 댓글주소 수정/삭제 댓글쓰기

    sunungin11
    0u점 to
    라는 링크, 아 왜 자꾸 금칙어라고 뜨는거지 ㅠㅠ

  • 지나가던 사람 2011.10.19 10:45 댓글주소 수정/삭제 댓글쓰기

    저도 컴퓨터에 이게 깔려있는데 V3로 잡긴 잡았는데 지우질 못하더라구요.
    그래서 레지스트리 편집기에 들어가서 해당 레지스트리를 다 지웠는데 이렇게 지워도 상관없는건가요?