본문 바로가기

벌새::Analysis

검색 도우미 : 옥션 오픈 쇼핑 도우미 1.0.0.1 - wzAuctionBar

반응형
국내에서 제작된 검색 도우미 옥션 오픈 쇼핑 도우미 1.0.0.1 - wzAuctionBar 프로그램에 대해 살펴보도록 하겠습니다.


해당 프로그램은 [wzAuctionBar] 폴더에 파일을 생성하고 있으며, Windows 시작시 update.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.


해당 프로그램이 설치된 환경에서 사용자가 웹 브라우저상에서 특정 검색을 시도할 경우 [옥션쇼핑도우미] 표기를 한 좌측 사이드바가 생성되어 옥션(Auction) 오픈 쇼핑 관련 광고를 생성하는 동작을 확인할 수 있습니다.


해당 광고는 특정 광고 코드를 포함하여 사용자가 해당 링크를 통해 구매 등의 특정 조건이 발생할 경우 프로그램 배포자에게 금전적 수익이 발생할 것으로 추정됩니다.


[추가 기능 관리 : 도구 모음 및 확장 프로그램]

{0D044C40-3313-4309-A6F5-8EAF96241E72}
 - 게시자 : 알 수 없음
 - CLSID : {0D044C40-3313-4309-A6F5-8EAF96241E72}
 - 파일 : C:\Program Files\wzAuctionBar\wzAuctionA.dll

옥션쇼핑도우미
 - 게시자 : 알 수 없음
 - CLSID : {028A5779-F245-4DFB-AEB7-570619B35F49}
 - 파일 : C:\Program Files\wzAuctionBar\WzAuctionBar.dll


C:\PROGRA~1\WZAUCT~1\WZAUCT~1.DLL
C:\PROGRA~1\WZAUCT~1\WZAUCT~2.DLL

프로세스 정보를 살펴보면 Internet Explorer 실행시 iexplore.exe 프로세스에 wzAuctionA.dll 파일을 BHO 방식으로 추가하여 키워드 감시를 통한 광고 노출이 발생하고 있습니다.


프로그램 삭제시에는 반드시 Internet Explorer를 종료한 후, 제어판의 [wzAuctionBar] 삭제 항목을 이용하여 삭제하시기 바랍니다.

HKEY_CLASSES_ROOT\CLSID\{028A5779-F245-4DFB-AEB7-570619B35F49}
HKEY_CLASSES_ROOT\CLSID\{0D044C40-3313-4309-A6F5-8EAF96241E72}
HKEY_CURRENT_USER\Software\wzAuctionBar
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\App Paths\install.exe
 - (기본값) = C:\Program Files\wzAuctionBar\install.exe
 - BlockOnTSNonInstallMode = 1
 - RunAsOnNonAdminInstall = 1

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D044C40-3313-4309-A6F5-8EAF96241E72}
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run
 - wzAuctionBar = C:\Program Files\wzAuctionBar\update.exe
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Uninstall\wzAuctionBar

현재 국내에는 다수의 옥션(Auction) 쇼핑 관련 프로그램이 확인되고 있으며, 사실상 사용자에게는 인터넷 이용에 방해가 되는 요소로 구성되어 있으므로 원치않는 분들은 반드시 삭제를 권장합니다.
반응형