본문 바로가기

벌새::Analysis

국내 악성코드 : Windows Onestep System

반응형
최근 제휴(스폰서) 프로그램 형태로 배포가 이루어지고 있는 검색 도우미 Windows Onestep System 프로그램을 설치할 경우 사용자 동의 없이 다수의 추가적인 프로그램을 설치하는 행위가 발견되고 있습니다.

테스트에서는 Windows Onestep System 설치 파일(MD5 : a3b708832f7a453a5cf5e5fc5a223963)을 통해 확인을 하였으며, 안철수연구소(AhnLab) V3 보안 제품에서는 Downloader/Win32.Adload (VirusTotal : 5/41), 알약(ALYac)에서는 Trojan.Downloader.KorAdware.592384 진단명으로 차단을 하고 있으므로 참고하시기 바랍니다.

 

설치 파일이 실행되면 특정 서버를 통해 one-step.zip 파일을 다운로드하여 Windows Onestep System이라는 프로그램을 설치합니다.

[생성 폴더 / 파일 등록 정보 : Windows Onestep System]

C:\Program Files\one-step
C:\Program Files\one-step\ls.plc
C:\Program Files\one-step\one-step.dll :: 탐색창 관련 파일
C:\Program Files\one-step\one-stepb.dll :: BHO 등록 파일

C:\Program Files\one-step\one-stepe.exe :: 시작 프로그램 등록 파일
C:\Program Files\one-step\uninstall.exe :: 프로그램 삭제 파일
 
[생성 파일 진단 정보]

C:\Program Files\one-step\one-step.dll
 - MD5 : 072250e5018105d27461225a4556319b
 - Kaspersky : Trojan.Win32.StartPage.aqsi (VirusTotal : 3/41)

C:\Program Files\one-step\one-stepb.dll
 - MD5 : 0ee65cb68ff41198cb4622c951a56973
 - AhnLab V3 : Trojan/Win32.BHO (VirusTotal : 17/43)

C:\Program Files\one-step\one-stepe.exe
 - MD5 : 619d55463093a5954f069bd612e89a0d
 - Dr.Web : Trojan.DownLoader5.13910 (VirusTotal : 6/43)

해당 프로그램은 [C:\Program Files\one-step] 폴더에 파일을 생성하며, one-stepe.exe 파일을 시작 프로그램으로 등록하여 자동 실행되도록 구성되어 있습니다.

이 과정에서 one-stepe.exe 파일은 사용자 동의 없이 추가적으로 현재 7종의 검색 도우미, 개인정보 보안 솔루션, 야후(Yahoo) 시작 페이지 설정 프로그램, 바탕 화면 및 즐겨찾기 바로가기 아이콘 생성 프로그램을 다운로드하여 설치가 이루어집니다.

1. 개인정보 보안 솔루션 : 데이터세이브(DataSave) (2011.11.11)
  • MD5 : 2561861766c2daeedfa6478c8b0d1c3b
  • Microsoft : TrojanDownloader:Win32/Fakr.A (VirusTotal : 8/43)

해당 프로그램은 시스템 시작시 자동 실행되어 사용자 PC 사용 흔적 검사를 통해 자동 연장 결제 방식의 유료 결제를 유도하며, 시스템 트레이 알림 아이콘 상단에 주기적으로 팝업창을 생성하는 프로그램입니다.

2. 검색 도우미 : PostTip (2011.4.11)

  • MD5 : 65454472747f8d4ed22061298d13ce63
  • Hauri ViRobot : Trojan.Win32.Downloader.17504 (VirusTotal : 22/43)

해당 프로그램은 인터넷 검색시 웹 브라우저 좌측 영역에 광고바를 생성하는 프로그램으로 사용자는 해당 광고바가 어떤 프로그램인지 확인하기 어렵습니다.

3. 검색 도우미 : SideOh (2011.11.11)

  • MD5 : 7fbdb7dded8fb6379d92c4c7c975ae9e
  • Kaspersky : HEUR:Trojan-Downloader.Win32.Generic (VirusTotal : 3/42)

해당 프로그램은 인터넷 검색시 웹 브라우저 좌측 사이드바 형태의 추천 사이트 광고를 생성하는 프로그램으로 사용자는 사이드바 광고가 어떤 프로그램인지 확인하기 어렵습니다.

4. 검색 도우미 : SmartTool (2011.4.11)

  • MD5 : bdb95ec3afc8355009923a6645569161
  • AhnLab V3 : Win-PUP/Helper.PlusTab.66008 (VirusTotal : 7/43)

해당 프로그램은 인터넷 검색시 웹 브라우저 상단에 광고바를 생성하는 프로그램으로 사용자는 해당 광고바가 어떤 프로그램인지 확인하기 어렵습니다.

5. GoGopage117.exe

  • MD5 : a66776d00c450b70c83db992d91bc01f
  • AhnLab V3 : Adware/Win32.StartPage (VirusTotal : 29/43)

 

해당 프로그램이 설치된 경우 자동으로 Internet Explorer 웹 브라우저의 시작 페이지를 야후(Yahoo) 페이지로 변경을 하는 프로그램입니다.

 

해당 문제를 해결하기 위해서는 인터넷 옵션의 [일반 - 홈 페이지] 항목에서 등록된 시작 페이지 주소를 제거하시고 사용자가 원하시는 시작 페이지로 변경을 하시기 바랍니다.

6. 국내 악성코드 : Win Search for finalget (2011.10.21)

  • MD5 : f7c0507195d85fe7e0c8b262aa56e93a
  • AhnLab V3 : Downloader/Win32.Adload (VirusTotal : 13/43)

해당 프로그램은 인터넷 검색시 추가적인 광고창이 생성되는 과정에서 사용자 몰래 광고 코드를 추가하여 금전적 수익을 유발하는 프로그램입니다.

7. fvhome-p4.exe

  • MD5 : 0e1d33d0cd88314274e1aa01c9d8fbe4
  • Dr.Web : Win32.HLLM.Julio.origin (VirusTotal : 4/43)

 

해당 프로그램은 바탕 화면과 웹 브라우저 즐겨찾기에 11번가, 옥션, G마켓 바로가기 아이콘을 생성하는 기능을 합니다.

프로그램 자체에 삭제 기능을 제공하지 않으므로 사용자가 수동으로 등록된 바로가기 아이콘을 삭제하셔야 합니다.

 

특히 이렇게 다수의 검색 도우미 프로그램이 설치됨으로 인하여 사용자가 인터넷 과정에서 원치 않는 광고창 생성 및 웹 페이지에 상단, 좌측, 하단에 4개의 광고바가 생성되어 웹 브라우저 속도에 큰 영향을 주는 문제가 발생하는 것을 확인할 수 있습니다.

[추가 기능 관리 : 도구 모음 및 확장 프로그램]

이름 : one-step
유형 : 브라우저 도우미 개체
CLSID : {3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}
파일 : C:\Program Files\one-step\one-stepb.dll

이름 : O
유형 : 탐색창
CLSID : {34D65E42-BFD8-43B5-BC3E-3B5F4151D56A}
파일 : C:\Program Files\one-step\one-step.dll

※ 해당 항목은 Windows Onestep System 프로그램 관련 정보입니다.

 

Windows Onestep System 프로그램의 경우 one-stepb.dll 파일을 브라우저 도우미 개체(BHO)로 등록하여, 인터넷 검색시 사용자 키워드 감시를 통해 웹 브라우저 하단에 광고바를 생성하는 동작을 하도록 구성되어 있습니다.

그러므로 이런 광고 동작을 중지하기 위해서는 Internet Explorer 웹 브라우저에서 제공하는 추가 기능 관리에 등록된 SmartToolCtl Class, PostTip, one-step, O, SideOhHelper, SideOh 항목을 선택하여 [사용 안 함]으로 변경하시기 바랍니다.

 

프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료를 한 상태에서 제어판의 [datasave uninstall], [PostTip], [SideOh], [SmartTool 제거], [Win Search for finalget], [Windows Onestep System] 삭제 항목을 이용하여 삭제하시기 바랍니다.

참고로 Windows Onestep System 프로그램의 경우 삭제 완료 후 추가적으로 [C:\Program Files\one-step] 폴더를 수동으로 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보 : Windows Onestep System]

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - one-step = C:\Program Files\one-step\one-stepe.exe
HKEY_CURRENT_USER\Software\noone-step
HKEY_CURRENT_USER\Software\one-step
HKEY_CURRENT_USER\Software\winu
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{34D65E42-BFD8-43B5-BC3E-3B5F4151D56A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\one-step.one
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\one-step
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3ADCD904-2FCC-4D2D-9E2F-1A434E0F4BAC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\one-step

 

해당 프로그램들은 제어판을 통한 삭제 이후에도 일부 시작 프로그램 등록 레지스트리 정보가 제대로 삭제되지 않는 문제가 있으므로, 사용자 몰래 설치된 각 프로그램에 대한 세부적인 링크 정보를 참고하여 추가로 삭제하시기 바랍니다.

728x90
반응형
  • 비밀댓글입니다

  • 비밀댓글입니다

  • cocoa 2011.11.15 23:04 댓글주소 수정/삭제 댓글쓰기

    흐... 이번에도 포스팅 잘보고 갑니다

    파일 받을때 분명히 구석에 제휴 프로그램(=쇼핑몰 바로가기 뜨는 쓰레기 프로그램/바이러스)이 써있는걸 봤는데도 아무생각없이 습관적으로 다운로드 확인 버튼 클릭~!!!!!!!!!!!!!!!!!! ㅠㅠ
    확인버튼 누르고 아차했는데 역시나 네이버 백신에 바이러스가 감지되었다고 띠링띠링....
    컴맹이지만 이번에도 열심히 레지스트리랑 프로그램 파일 찾아서 삭제 성공

    생각할수록 정말 바보 같네요ㅡㅡ
    역시 머리가 나쁘면 몸이 고생한다는게 맞나봐요ㅎㅎ;

  • 우와이럴수가 2011.11.18 01:10 댓글주소 수정/삭제 댓글쓰기

    이번에 이게모지하고 검색했는데 이렇게 자세히 정리해주시는 분이계셨다니..
    정말 많은 도움이 되었어요ㅜㅜ
    window onestep system 이게 모든것의 원인이였네요
    저는 윈도우 어쩌구라서 이상한건지 몰랐는데 ㅠㅠ
    그나저나 데이터세이브 라는것이 벌써 깔렸는데
    저는 그럼 매달 돈이 나가는건가요??ㅠㅠㅠ

    • 안녕하세요.

      해당 프로그램이 설치되었다고 자동으로 돈이 나가는 것이 아니라 사용자가 해당 프로그램의 결제 정보를 입력하여 인증을 해야지 돈이 청구되는 방식입니다.^^

  • 우와이럴수가 2011.11.18 01:33 댓글주소 수정/삭제 댓글쓰기

    프로그램 삭제시에는 Internet Explorer 웹 브라우저 종료를 한 상태
    라는것은 인터넷창을 끄면 되는건가요?? 인터넷창 모두 끄면 종료에요??
    작업관리자에서 iexplore.exe 요거 프로세스끝내기 해서 하는건아니죠??

  • 우와이럴수가 2011.11.18 01:54 댓글주소 수정/삭제 댓글쓰기

    저 V3 365 로 전에 검사해봤었는데 뭔가 잡힌게 있었거든요
    window onestep system 이 설치된 시기랑 제가 검사해서 잡은시기랑 같나 모르겠지만..
    제가 프로그램 추가/제거 로 알려주신대로 제거 하려고 했더니 이미제거되었을수있다면서 목록에서 삭제할거냐는 창이 떳는데
    혹시 그때 치료가 되서 이런 창이 뜬건가요??

    • 아마 보안 제품이나 어떤 경우로 인하여 해당 프로그램의 삭제 파일이 제거되어 제어판을 통한 삭제가 이루어지지 않는 경우가 아닌가 생각됩니다.

      이런 경우에는 사용자가 생성 폴더(파일), 레지스트리 정보를 확인하면서 수동으로 삭제되지 않은 것들을 삭제하셔야 합니다.

      쉽게 말하면 삭제 기능을 담당하는 삭제 파일이 제거되어 자동 삭제가 되지 않는 현상 같습니다.

  • 우와이럴수가 2011.11.18 02:01 댓글주소 수정/삭제 댓글쓰기

    저는 레지스트리라는거 삭제하는것도 모르지만 우선 할수있는것은 삭제했더니
    이제 다시 깔리고 그러는건 없는것 같아요 제가 못찾는걸수도 있지만;;
    데이터세이브라는거에대해서 다시 읽어보니
    '자동 연장 결제 방식의 유료 결제를 유도하며'
    라는것이 그러니깐 깔린다고 해서 무조건 결제되는건 아닌거죠??
    유료결제를 유도해서 결제를 하고나면 그뒤로도 자동 결제 된다는거죠?
    결제 한적 없으면 자동결제도 아닌거죠??

    사용자 pc사용 흔적 검사라는건 뭐에요??

    제가 너무 바보라서 이상한 질문 많이해서 죄송해요 ㅠㅠ

    • PC 사용 흔적 검사라는 것은 일반적으로 컴퓨터를 실행하여 인터넷, 게임, 동영상, 음악 같은 것들을 보고 하는 동작이 기록되는데 이런 부분을 찾아서 마치 개인정보가 유출될 수 있다는 위험한 요소로 강조하여 사용자의 불안감을 조장하는 것을 말합니다.

  • 우와이럴수가 2011.11.18 23:50 댓글주소 수정/삭제 댓글쓰기

    정말 대단하세요!! 질문도 많이 했는데 답변도 다해주시고 정말 감사합니다.^^

  • 고맙습니다!!!!!!! 2011.11.21 20:52 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다.. 그동안 요놈들 때문에 정말 화가 많이 났는데 이렇게 깔끔하게 정리해주시니 정말 고맙습니다. 정말정말 감사합니다^^

  • 감사합니다! 2011.12.12 21:14 댓글주소 수정/삭제 댓글쓰기

    인터넷 검색창에 검색하면 이상한 사이트들이 함께 떠서 짜증났었는데 요런 파일들이 저도 모르게 깔려 있었네요~ 다~~~지워버렸어요ㅎㅎㅎ 감사합니따!^.^

  • 우왕★ 2011.12.16 17:57 댓글주소 수정/삭제 댓글쓰기

    ㄱㅅ요ㅠ
    검색할때마다 떠서 얼마나 짜증났는데ㅠㅠ

  • 찻잔속별 2011.12.27 23:42 댓글주소 수정/삭제 댓글쓰기

    정말 감사합니다!
    대충 이것 때문인 것 같다, 수상하다 생각은 했는데 이 글 보고 바로 삭제했어요ㅎㅎ