울지않는벌새 : Security, Movie & Society

검색 도우미 : SubShop - pwsis (2013.11.24)

벌새::PUP Info
● 최초 작성 : 2013년 11월 4일

● 1차 수정 : 2013년 11월 24일 - 추가 파일 등록

 

 

최근 국내에서 제작된 SubShop 검색 도우미 프로그램의 독특한 배포 및 설치 방식을 소개하면서 특정 조건에서는 분석 내용과는 전혀 다른 동작이 발생할 수 있다고 소개한 적이 있었습니다.

 

  친절하게 설치되는 SubShop 광고 프로그램의 목적은? (2013.10.31)

 

그 후 블로그를 통해 문의한 분의 도움을 얻어 유사 변종 설치와 관련된 정보가 확인되어 정보를 공개해 드리겠습니다.

 

■ Sub Shop 변종 프로그램의 특징

  1. 프로그램 설치 과정에서 임의의 폴더에 파일을 생성하는 것으로 추정
  2. 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 삭제 방해
  3. yearsoft, The A MEDIA, LEEYEON Communication Co.,Ltd와 같은 3종의 디지털 서명이 포함된 파일 사용

■ Sub Shop 변종 프로그램(pwsis) 정보


파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\pwsis.exe

MD5

 8E932573CBCEC75FA6649F861BF08F39

진단명

 PUP/Win32.SubShop (AhnLab V3)

디지털 서명

 yearsoft

파일 설명

 Sub Shop Application

제품 이름

 Sub Shop

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\pwsisv.exe

MD5

 79B4B95C8832402C5FA8A6332951C384

진단

 PUP/Win32.TopBar (AhnLab V3)

디지털 서명

 yearsoft

파일 설명

 Sub Shop Application

제품 이름

 Sub Shop

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pwsisv

비고

 서비스(pwsisv) 등록

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\portal.exe

MD5

 41DF5F4D9E85DCA6EE377C5A8143A264

진단명

 a variant of Win32/Adware.Winggo.AD (ESET)

디지털 서명

 The A MEDIA

파일 설명

 MWMToolbar 에이전트 프로그램

제품 이름

 MWMToolbar

비고

 메모리 상주 프로세스

 

파일 경로 

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\SLEsperant.exe

MD5

 503F45508A877477C7ECEE34D65FCE35

진단명

 a variant of Win32/TrojanClicker.BHO.NCQ (ESET)

디지털 서명

 LEEYEON Communication Co.,Ltd

파일 설명

 SLEsperant

제품 이름

 SLEsperant

비고

 메모리 상주 프로세스


파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\winrr.dll

MD5

 997A8BF5C5E0C1E810F66B55D1547A21

진단명

 PUP/Win32.SubShop (AhnLab V3)

비고

 메모리 상주 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\pwsis\winrr.exe

MD5 

 36AD3A5F1FB59C0996B9BCBE6735644C

진단명

 not-a-virus:AdWare.Win32.Kraddare.dk (Kaspersky)

비고

 메모리 상주 프로세스

 

해당 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\pwsis" 폴더에 생성된 파일은 "pwsisv" 서비스를 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\pwsis\pwsisv.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 일정 시간이 경과하면 추가적으로 portal.exe, pwsis.exe, SLEsperant.exe, winrr.exe 프로세스를 메모리에 상주시키며 자신은 자동 종료(중지) 처리됩니다.

 

이를 통해 인터넷 검색, Internet Explorer 웹 브라우저 탭(창) 생성 및 종료시 다양한 광고창을 생성할 수 있을 것으로 추정됩니다.

 

■ 프로그램 삭제 방법

 

해당 프로그램을 삭제하기 위해서는 폴더 옵션에서 "숨김 파일, 폴더 및 드라이브 표시" 항목에 체크하시고 다음과 같은 방식으로 삭제를 진행하시기 바랍니다.

 

(1) "C:\Users\(사용자 계정)\AppData\Roaming\pwsis\uninstall.exe" 파일이 존재한다면 해당 파일을 직접 실행하여 프로그램 삭제를 진행할 수 있습니다.

 

(2) uninstall.exe 파일이 존재하지 않는 경우(※ 삭제가 이루어지지 않을 경우에는 안전 모드(F8)에서 진행하시기 바랍니다.)

 

 - "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭으로 선택하여 "관리자 권한으로 실행"하여 명령 프롬프트 창을 오픈하시기 바랍니다.

 

 - 명령 프롬프트 창에 [sc delete "pwsisv"] 명령어를 입력하여 실행하시기 바랍니다.

- Windows 작업 관리자를 실행하여 portal.exe, pwsis.exe, SLEsperant.exe, winrr.exe 프로세스를 찾아 수동으로 종료하시기 바랍니다.

 

 - 모든 프로그램을 종료한 상태에서 Windows 탐색기를 실행하여 "C:\Users\(사용자 계정)\AppData\Roaming\pwsis" 폴더 및 내부 파일을 삭제하시기 바랍니다.

 

일부 광고 프로그램은 위와 같이 제어판의 설치 프로그램 목록에 등록하지 않는 방식으로 사용자가 프로그램을 찾아 삭제하는 것을 방해하는 경우가 있으며, 또 다른 경우에는 제어판에 등록된 삭제 목록을 통해 삭제하여도 정상적으로 삭제되지 않고 지속적인 동작이 이루어지는 경우도 있습니다.

 

그러므로 위와 같은 광고 프로그램의 삭제에 어려움이 있는 분들은 "[공지] 광고 프로그램 삭제 관련 문의 방법" 게시글을 참고하여 정보를 제공해 주시면 도움을 드릴 수 있도록 하겠습니다.