본문 바로가기

벌새::Analysis

[삭제] sysh version 1.0.0

반응형

국내에서 제작되어 사용자 몰래 웹하드 추천인 아이디 등을 추가하는 동작을 하는 sysh version 1.0.0 프로그램에 대해 살펴보도록 하겠습니다.


해당 프로그램의 설치 파일(MD5 : dd9909974feba5ca5b95b3c50153ce0e)에 대하여 BitDefender 보안 제품에서는 Trojan.Generic.KD.196449 진단명으로 진단되고 있습니다.
 

해당 프로그램은 기존의 stip version 1.0.0 / whrteng version 1.0.0 프로그램과 유사성이 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\All Users\시작 메뉴\프로그램\sysh
C:\Documents and Settings\All Users\시작 메뉴\프로그램\sysh\sysh.lnk
C:\Program Files\sysh
C:\Program Files\sysh\modhlp.exe :: 메모리 상주 프로세스
C:\Program Files\sysh\modr.exe
C:\Program Files\sysh\sysh.exe :: 시작 프로그램 등록 파일
C:\Program Files\sysh\unins000.dat

C:\Program Files\sysh\unins000.exe :: 프로그램 삭제 파일

 

해당 프로그램이 설치된 환경에서는 프로그램 목록에 좌측 그림과 같이 sysh 항목이 등록되는 것을 확인할 수 있으며, [C:\Program Files\sysh] 폴더에 파일을 생성하고 있습니다.

Windows 시작시 sysh.exe 파일을 시작 프로그램으로 등록하여 자동 실행되며, 실행된 파일은 modhlp.exe 파일을 로딩하여 메모리에 상주하도록 구성되어 있습니다.

이 과정에서 ① sysh 파일 버전 체크 ② h**p://iring**.co.kr/sysh/url1.txt 정보 참조를 하는 동작이 있습니다.

 

url1.txt

 

참고로 url1.txt 내용을 살펴보면 국내 웹하드, 인터넷 쇼핑몰 사이트의 추천인(파트너) 아이디가 다수 등록되어 있는 것을 확인할 수 있습니다.

 

 

실제 특정 웹하드 사이트에 접속하여 무료 회원 가입을 시도할 경우, 해당 프로그램에서 지정한 추천인 아이디가 몰래 추가되는 것을 확인할 수 있습니다.

 

 

프로그램 삭제시에는 작업 관리자에서 modhlp.exe 프로세스를 수동으로 종료한 후, 제어판의 [sysh version 1.0.0] 삭제 항목을 이용하여 삭제하실 수 있습니다.

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\sysh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - sysh = C:\Program Files\sysh\sysh.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{16BC7CA2-ED1E-4048-82DB-50C9812949E3}_is1


해당 프로그램은 프로그램 목록에 표시된 이름으로 어떤 기능을 하는지 전혀 사용자가 알 수 없으며, 사용자 몰래 추천인 아이디를 등록하여 금전적 수익을 발생시키므로 원치 않는 분들은 삭제를 하시기 바랍니다.

728x90
반응형
  • ㅇㅅㅇ 2011.04.28 11:17 댓글주소 수정/삭제 댓글쓰기

    modhlp.exe(메모리 상주 프로세스) 가 안지워지네요... 엑세스가 거부되었거나 현재 사용중일수 있다 그러는데.... 어떻게해야디죠?