728x90
반응형
국내에서 제작된 온라인 쇼핑몰 관련 적립금을 발생시키는 쇼핑세이브(ShoppingSave) 프로그램에 대해 살펴보도록 하겠습니다.
해당 프로그램의 설치 파일(SHA1 : 3e0fac34a210049f4f7c172770dbf59fd953d957)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Suspicious (VirusTotal : 26/43) 진단명으로 사전 차단하고 있으므로 참고하시기 바랍니다.
해당 프로그램은 Windows 시작시 ShoppingSave.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 추가적으로 SS2001.exe 파일 버전 체크 및 다운로드를 시도하고 있습니다.
해당 프로그램은 Windows 시작시 ShoppingSave.exe / SS2001.exe 2개의 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe프로세스에 ShoppingSave.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제는 제어판의 [ShoppingSave] 삭제 항목을 이용하여 삭제하실 수 있습니다.
프로그램 삭제후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
적립금 프로그램은 반드시 프로그램 설치 후 서비스 제공 사이트에 회원 가입을 통해 정상적으로 이루어지는 것이 일반적이므로, 회원 가입을 하지 않은 상태에서 이런 류의 프로그램은 아무런 쓸모가 없으므로 삭제를 권장합니다.
해당 프로그램의 설치 파일(SHA1 : 3e0fac34a210049f4f7c172770dbf59fd953d957)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Suspicious (VirusTotal : 26/43) 진단명으로 사전 차단하고 있으므로 참고하시기 바랍니다.
[생성 파일 등록 정보]
C:\Program Files\ShoppingSave\ShoppingSave.dll :: BHO 등록 파일
C:\Program Files\ShoppingSave\ShoppingSave.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\ShoppingSave\ShoppingSaveDll.dll
C:\Program Files\ShoppingSave\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe :: 메모리 상주 프로세스
C:\Program Files\ShoppingSave\ShoppingSave.dll :: BHO 등록 파일
C:\Program Files\ShoppingSave\ShoppingSave.exe :: 시작 프로그램 등록 파일, 메모리 상주 프로세스
C:\Program Files\ShoppingSave\ShoppingSaveDll.dll
C:\Program Files\ShoppingSave\uninstall.exe :: 프로그램 삭제 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe :: 메모리 상주 프로세스
[생성 파일 진단 정보]
C:\Program Files\ShoppingSave\ShoppingSave.dll (SHA1 : c930474ef4e7416918c03a7edccf4cdbb1d6a0e0)
- Hauri ViRobot : Backdoor.Win32.Agent.98304.M (VirusTotal : 6/43)
C:\Program Files\ShoppingSave\ShoppingSaveDll.dll (SHA1 : 2061d5d1bfb23067d6538b6803b49cd21c2f18c4)
- Hauri ViRobot : Backdoor.Win32.Agent.28672.S (VirusTotal : 15/42)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe (SHA1 : 2d4b9d565425e13c882d00e21083f2aca15c8458)
- AhnLab V3 : Backdoor/Win32.Agent (VirusTotal : 34/41)
C:\Program Files\ShoppingSave\ShoppingSave.dll (SHA1 : c930474ef4e7416918c03a7edccf4cdbb1d6a0e0)
- Hauri ViRobot : Backdoor.Win32.Agent.98304.M (VirusTotal : 6/43)
C:\Program Files\ShoppingSave\ShoppingSaveDll.dll (SHA1 : 2061d5d1bfb23067d6538b6803b49cd21c2f18c4)
- Hauri ViRobot : Backdoor.Win32.Agent.28672.S (VirusTotal : 15/42)
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe (SHA1 : 2d4b9d565425e13c882d00e21083f2aca15c8458)
- AhnLab V3 : Backdoor/Win32.Agent (VirusTotal : 34/41)
해당 프로그램은 Windows 시작시 ShoppingSave.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 추가적으로 SS2001.exe 파일 버전 체크 및 다운로드를 시도하고 있습니다.
[ShoppingSave.exe 파일 네트워크 연결 정보]
GET /Update_ss1001/ShoppingSave.ini HTTP/1.1
User-Agent: session
Host: reward.shoppingsave.co.kr
GET /Update_ss1001/ShoppingSave.ini HTTP/1.1
User-Agent: session
Host: reward.shoppingsave.co.kr
[추가 기능 관리 : 도구 모음 및 확장 프로그램]
ShoppingSave
- 게시자 : 알 수 없음
- CLSID : {00DF2FEB-E566-464B-9012-CB633950405E}
- 파일 : C:\Program Files\ShoppingSave\ShoppingSave.dll
ShoppingSave
- 게시자 : 알 수 없음
- CLSID : {00DF2FEB-E566-464B-9012-CB633950405E}
- 파일 : C:\Program Files\ShoppingSave\ShoppingSave.dll
해당 프로그램은 Windows 시작시 ShoppingSave.exe / SS2001.exe 2개의 프로세스가 메모리에 상주하며, 사용자가 Internet Explorer를 실행할 경우 iexplore.exe프로세스에 ShoppingSave.dll 파일을 BHO 방식으로 추가하여 동작하는 것을 확인할 수 있습니다.
프로그램 삭제는 제어판의 [ShoppingSave] 삭제 항목을 이용하여 삭제하실 수 있습니다.
[생성 레지스트리 등록 정보]
HKEY_CLASSES_ROOT\CLSID\{00DF2FEB-E566-464b-9012-CB633950405E}
HKEY_CLASSES_ROOT\Interface\{9FF43820-C325-440A-BEB2-03D925D13E3E}
HKEY_CLASSES_ROOT\Reward.RewardCtl
HKEY_CLASSES_ROOT\Reward.RewardCtl.1
HKEY_CLASSES_ROOT\TypeLib\{02C54EF6-3CE2-4B40-BD1F-6F75717C6991}
HKEY_CURRENT_USER\Software\ShoppingSave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DF2FEB-E566-464b-9012-CB633950405E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ShoppingSave = C:\Program Files\ShoppingSave\ShoppingSave.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingSave
HKEY_CLASSES_ROOT\CLSID\{00DF2FEB-E566-464b-9012-CB633950405E}
HKEY_CLASSES_ROOT\Interface\{9FF43820-C325-440A-BEB2-03D925D13E3E}
HKEY_CLASSES_ROOT\Reward.RewardCtl
HKEY_CLASSES_ROOT\Reward.RewardCtl.1
HKEY_CLASSES_ROOT\TypeLib\{02C54EF6-3CE2-4B40-BD1F-6F75717C6991}
HKEY_CURRENT_USER\Software\ShoppingSave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00DF2FEB-E566-464b-9012-CB633950405E}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ShoppingSave = C:\Program Files\ShoppingSave\ShoppingSave.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingSave
프로그램 삭제후에는 추가적으로 다음의 폴더(파일)을 수동으로 삭제하시기 바랍니다.
C:\Program Files\ShoppingSave
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\SS2001.exe
적립금 프로그램은 반드시 프로그램 설치 후 서비스 제공 사이트에 회원 가입을 통해 정상적으로 이루어지는 것이 일반적이므로, 회원 가입을 하지 않은 상태에서 이런 류의 프로그램은 아무런 쓸모가 없으므로 삭제를 권장합니다.
728x90
반응형