울지않는벌새 : Security, Movie & Society

검색 도우미 : SubShop - Jpderu (2013.11.24)

벌새::PUP Info


국내에서 제작된 광고 프로그램 중 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판에 등록하지 않는 방식으로 다양한 변종 프로그램을 꾸준하게 유포하고 있는 SubShop 검색 도우미 프로그램의 새로운 변종 파일이 수집되어 정보를 공개해 드립니다.

 

현재 수집된 정보에서는 일부 파일만 확인되어 실제로는 광고 기능 수행을 위한 더 많은 파일이 있으므로 참고하시기 바랍니다.

 

■ SubShop 변종 프로그램(Jpderu) 정보

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\Jpderu.exe

MD5

 198DC4249472683385D390C6A8316318

진단명

 PUP/Win32.TopBar (AhnLab V3)

디지털 서명

 yearsoft

파일 설명

 Sub Shop

제품 이름

 Sub Shop

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\JpderuSvr.exe

MD5

 00C5C6187618AC005D1E01BE35CB4866

진단명

 Adware/W32.KrAdword.16416 (nProtect)

디지털 서명

 yearsoft

파일 설명

 Sub Shop

제품 이름

 Sub Shop

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\JpderuSvr

비고

 서비스(JpderuSvr, 표시 이름 : Sub Shop) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\PCOlib.dll

MD5

 099D9E3DF347B647B98034B54F3772AF

디지털 서명

 Adwill Communications Co., LTD.

파일 설명

 PC Clean Optimizer 프로그램

비고

 메모리 상주 파일

 

이번에 확인된 SubShop 변종 프로그램 역시 사용자가 확인하기 어려운 "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu" 폴더에 파일을 생성하며, "JpderuSvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\JpderuSvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 업데이트 및 광고 구성값 체크를 통해 Jpderu.exe 프로세스를 비롯한 광고 기능 파일을 메모리에 상주시켜 다양한 수익 활동을 전개할 것으로 판단됩니다.

 

해당 SubShop 변종 프로그램의 파일 특징은 다음과 같습니다.

  1. 광고 모듈 배포 목적으로 제작된 SubShop 프로그램은 "yearsoft" 디지털 서명을 포함하고 있습니다.
  2. "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\PCOlib.dll" 광고 모듈은 "PC Clean Optimizer" 검색 도우미와 연관된 파일입니다.

■ 프로그램 삭제 방법

 

기본적으로 SubShop 계열 프로그램은 사용자에 의한 프로그램 삭제 방해를 목적으로 제어판의 삭제 항목에는 등록하지 않지만, 보안 제품의 진단을 우회할 목적으로 프로그램 삭제 파일을 폴더 내에 포함하고 있습니다.

 

그러므로 "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu\uninstall.exe" 파일을 찾아 직접 실행하시면 프로그램을 삭제할 수 있으리라 판단됩니다.

 

만약 삭제 파일이 존재하지 않는 경우에는 다음과 같은 절차에 따라 프로그램 삭제를 시도해 보시기 바랍니다.(※ 삭제가 되지 않는 경우에는 안전 모드(F8)에서 진행하시기 바랍니다.)

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 마우스 우클릭하여 "관리자 권한으로 실행"을 선택하여 명령 프롬프트를 실행하시기 바랍니다.

 

(b) 명령 프롬프트 창에 [sc delete "JpderuSvr"] 명령어를 입력 및 실행하여 자동으로 서비스 등록값을 삭제할 수 있습니다.

(c) Windows 작업 관리자를 실행하여 "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu" 폴더 내에 존재하는 exe 파일명과 동일한 프로세스를 찾아 "프로세스 끝내기"를 하시기 바랍니다.(※ 프로세스명 예시 : Jpderu.exe)

 

(d) 모든 프로그램을 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\Jpderu" 폴더를 삭제하시기 바랍니다.

 

해당 프로그램 설치로 인해 고생하시는 분의 문의 내용을 보면 인터넷 속도 저하, 추가적인 탭 생성을 통한 광고 사이트 생성, 인터넷 검색시 광고창 생성 등의 다양한 문제가 발생하고 있다고 합니다.

 

그러므로 위와 같은 프로그램이 설치되지 않도록 블로그, 신뢰할 수 없는 파일 자료실에서 파일을 다운로드하여 실행하는 일이 없도록 각별히 주의하시기 바랍니다.