본문 바로가기
벌새::Analysis

검색 도우미 : 오픈쇼퍼(OpenShopper) - oplsvc + danasegarane

벌새 2011. 9. 17. 21:14
반응형
국내에서 제작되어 인터넷 검색시 광고창을 생성하는 검색 도우미 오픈쇼퍼(OpenShopper) - oplsvc 프로그램에 대해 살펴보도록 하겠습니다.

 

해당 프로그램(MD5 : 8a54555bf7517b215b25c90de420e43e)은 기존의 OpenShopper 프로그램의 수정된 버전으로 추정되므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane
C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane\danasegarane.exe :: 시작 프로그램 등록 파일
C:\Documents and Settings\(사용자 계정)\Application Data\danasegaranes.exe :: danasegarane 설치 파일
C:\Documents and Settings\(사용자 계정)\Application Data\OPSetup.exe :: OpenShopper 설치 파일
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\cdb.db
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\data.db
C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\data.zip
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\253203.exe :: OpenShopper 설치 파일
※ 해당 파일은 (5~6자리 숫자).exe 형태입니다.
C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\261234.exe :: OpenShopper 설치 파일
※ 해당 파일은 (5~6자리 숫자).exe 유형입니다. - MD5 : e945fac7571894e1579bea892c53c29b
C:\Program Files\oplsvc
C:\Program Files\oplsvc\data.dat
C:\Program Files\oplsvc\OpenShopperC.exe :: 시작 프로그램 등록 파일
C:\Program Files\oplsvc\OpenShopperD.exe :: 메모리 상주 프로세스
C:\Program Files\oplsvc\OpenShopperSvc.exe :: 메모리 상주 프로세스
C:\Program Files\oplsvc\SQLiteEncrypt.dll
C:\Program Files\oplsvc\Uninstall.exe :: 프로그램 삭제 파일
[생성 파일 진단 정보]

C:\Documents and Settings\(사용자 계정)\Application Data\OPSetup.exe
 - MD5 : e80bf602d1436f17241ca08108f893fc
 - AhnLab V3 : PUP/Win32.OpenShopper (VirusTotal : 4/44)

C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\253203.exe
 - MD5 : 3c550c36048c7c4143eb6802d2d159c7
 - AhnLab V3 : PUP/Win32.OpenShopper (VirusTotal : 4/44)

※ PUP/Win32 진단은 유해 가능 프로그램에 대한 진단으로 악성적인 목적으로 제작되지 않았지만, 사용자에게 피해(불편)를 줄 수 있는 파일을 의미합니다.

 

해당 프로그램은 [C:\Program Files\oplsvc] 폴더에 OpenShopper 프로그램의 주요 파일을 생성하며, Windows 시작시 OpenShopperC.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

 

 

OpenShopperC.exe 시작 프로그램은 최종적으로 OpenShopperD.exe, OpenShopperSvc.exe 2개의 프로세스를 메모리에 상주하도록 구성되어 있습니다.

 

 

이를 통해 사용자가 인터넷 검색을 시도할 경우 추가적인 팝업 광고창을 생성하는 동작을 확인할 수 있습니다.

이와 함께 프로그램 초기 설치 과정에서 사용자가 인지하지 못하는 [C:\Documents and Settings\(사용자 계정)\Application Data\danasegaranes.exe] 설치 파일(MD5 : ed4f6c1fc0786644c79fd61d38d88673)을 생성하여 추가적으로 [C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane\danasegarane.exe] 파일(MD5 : 690aa1428fd5acd228e1a571c0d2e867)을 등록합니다.

 

 

해당 danasegarane.exe 파일은 시작 프로그램으로 등록하여 시스템 시작시마다 다음과 같은 외부 연결을 시도하는 것을 확인할 수 있습니다.

 

 

즉, xpcounter.co.kr 서버에 쿼리를 전송하여 업데이트 및 카운터(Counter) 체크를 하는 동작을 확인할 수 있습니다.

 

 

OpenShopper 프로그램 삭제시에는 Windows 작업 관리자에서 OpenShopperD.exe, OpenShopperSvc.exe 2개의 프로세스를 수동으로 종료한 후, 제어판의 [오픈쇼퍼(OpenShopper)] 삭제 항목을 이용하여 삭제하실 수 있습니다.

프로그램 삭제 후에는 추가적으로 다음의 폴더, 파일, 레지스트리 값을 확인하여 수동으로 삭제하시기 바랍니다.

 

  • C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane
  • C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane\danasegarane.exe
  • C:\Documents and Settings\(사용자 계정)\Application Data\danasegaranes.exe
  • C:\Documents and Settings\(사용자 계정)\Application Data\OPSetup.exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\cdb.db
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\data.db
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Application Data\OpenShopper\data.zip
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5~6자리 숫자).exe
  • C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5~6자리 숫자).exe
[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - oplu = C:\Program Files\oplsvc\OpenShopperC.exe /RUN
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\오픈쇼퍼(OpenShopper)
HKEY_CURRENT_USER\Software\OpenShopper
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 - danasegarane = C:\Documents and Settings\(사용자 계정)\Application Data\danasegarane\danasegarane.exe
HKEY_LOCAL_MACHINE\SOFTWARE\danasegarane

 

참고로 OpenShopper 프로그램 설치 관련 파일인 [C:\Documents and Settings\(사용자 계정)\Local Settings\Temp\(5~6자리 숫자).exe] 파일은 설치시 파일명이 랜덤(Random)하게 생성되므로 해당 아이콘을 기준으로 찾으시기 바랍니다.

해당 프로그램은 사용자가 설치 여부를 인지하기 어렵게 프로그램 목록에 제시되지 않는 점, 프로그램 설치 폴더가 변형된 점, 사용자 몰래 삭제를 지원하지 않는 시작 프로그램 등록 파일(danasegarane.exe)을 생성한다는 점에서 주의하시기 바랍니다.

728x90
반응형

티스토리툴바