본문 바로가기

벌새::Analysis

Domain Sponsor Reword Program 설치창을 생성하는 국내 ActiveX 설치 주의

728x90
반응형
국내에서 제공하는 특정 단축 URL 서비스의 특정 도메인에 접속할 경우 Sponsor Reword 관련 ActiveX 설치창을 생성하여 접속자들에게 설치를 유도하고 있습니다.

이번 ActiveX는 기존에 알려진 SXGuide와 관련된 도메인이 포함되어 있기에 변종으로 추정되므로 참고하시기 바랍니다.

[Sponsor Reword ActiveX 설치 경로]

h**p://man***.***.kr/security_y.php
 - h**p://www.toto***.co.kr/app/bun/main.cab

해당 ActiveX 설치 게시자 [Ria Engineering & Construction Corp.]는 유효한 디지털 서명이지만, 서명 시간과 연대 서명이 제외되어 있다는 점에서 신뢰하기 어려워 보입니다.

[ActiveX 설치 생성 파일 등록 정보]

C:\WINDOWS\Downloaded Program Files\main.ocx
C:\WINDOWS\Downloaded Program Files\uac.inf
C:\WINDOWS\Downloaded Program Files\uac.ocx

ActiveX가 설치된 환경에서는 해당 ActiveX 설치창을 생성하는 사이트에 접속시마다 그림과 같은 [Domain Sponsor Reword Program] 설치창을 매번 생성하는 동작을 확인할 수 있습니다.(만약 ActiveX 설치로 인하여 해당 창이 생성된 경우 반드시 [취소] 버튼을 클릭하여 제휴(스폰서) 프로그램이 설치되지 않도록 하시기 바랍니다.)

참고로 해당 설치창은 해당 제공하는 프로그램을 모두 설치한 환경에서도 계속적으로 생성되는 특징이 있습니다.

Internet Explorer에서 제공하는 추가 기능 관리 항목에서는 게시자를 알 수 없는 [UacFactory Control] 항목으로 등록되어 [C:\WINDOWS\Downloaded Program Files\uac.ocx] 파일과 연결되어 있는 것을 확인할 수 있습니다.

설치창에서는 [Sponser reword] 프로그램은 필수 설치 프로그램으로 고정되어 있으며, 추가적으로 3개의 제휴(스폰서) 프로그램을 사용자가 선택할 수 있도록 구성되어 있습니다.

만약 사용자가 해당 설치창에서 제공하는 모든 제휴(스폰서) 프로그램을 설치할 경우 총 4개의 프로그램이 다음의 폴더에 설치되는 것을 확인할 수 있습니다.(해당 프로그램들에 대해서는 차후 살펴보도록 하겠습니다.)

[Domain Sponsor Reword Program 설치 폴더 정보]

C:\Program Files\onescan : 개인정보 보안 솔루션 OneScan 프로그램
C:\Program Files\S2Xguide : Sponser Reword 프로그램(필수)
C:\Program Files\SmartKeyword : 스마트키워드(SmartKeyword) 프로그램
C:\Program Files\wiselinkbar : 와이즈링크(Wiselinkbar) 프로그램


해당 ActiveX 컨트롤러를 삭제하기 위해서는 다음과 같은 방식으로 파일과 레지스트리를 을 삭제하시기 바랍니다.

[Sponsor Reword ActiveX 생성 파일 삭제 방법]

1. 시작 - 실행 - cmd

2. cd C:\WINDOWS\Downloaded Program Files

3. del main.ocx uac.inf uac.ocx

[생성 레지스트리 등록 정보]

HKEY_CLASSES_ROOT\AppID\{A7880853-FD79-41E5-9C9B-3C310AC85CB2}
HKEY_CLASSES_ROOT\CLSID\{89248AAE-73D7-4288-BADD-39B622896E96}
HKEY_CLASSES_ROOT\CLSID\{A7880853-FD79-41E5-9C9B-3C310AC85CB2}
HKEY_CLASSES_ROOT\Interface\{48CF43D5-BDE1-4056-BB98-1AAF8A918CC9}
HKEY_CLASSES_ROOT\Interface\{6254066E-E771-4727-8A8D-B911668201A5}
HKEY_CLASSES_ROOT\Interface\{AEAFBC15-E9CD-44E1-B625-A32D000DF83C}
HKEY_CLASSES_ROOT\Interface\{ECA62E65-BABE-4FE5-8E68-47EAE69ECB8D}
HKEY_CLASSES_ROOT\TypeLib\{461DEF63-A8C4-4F5A-B8FE-18F6FCF6069D}
HKEY_CLASSES_ROOT\TypeLib\{FAC9F62B-4758-4E1A-A809-1A1556C108F7}
HKEY_CLASSES_ROOT\UacFactoryProj1.UacFactory
HKEY_CLASSES_ROOT\UmainFactroyProj1.UmainFactroy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\
{89248AAE-73D7-4288-BADD-39B622896E96}

HKEY_LOCAL_MACHINE\software\Microsoft\Code Store Database\Distribution Units\{89248AAE-73D7-4288-BADD-39B622896E96}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/main.ocx
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\ModuleUsage\
C:/WINDOWS/Downloaded Program Files/uac.ocx


이번과 같이 특정 ActiveX 설치로 인하여 반복적으로 특정 프로그램을 설치 유도하는 행위는 올바른 방식이 아닌 것으로 보여지며, 특히 해당 사이트 이용과 관계없이 추가적으로 설치된 프로그램이 계속적으로 사용자가 인터넷을 이용할 경우 각종 광고, 적립금 발생 등의 동작을 할 경우에는 오히려 방해적 요소로 인식될 수 있습니다.

그러므로 인터넷 상에서 ActiveX를 설치하실 때에는 추가적인 정보를 확인하는 습관을 가지시기 바랍니다.


728x90
반응형