울지않는벌새 : Security, Movie & Society

검색 도우미 : SubShop - Ochsenm (2013.12.24)

벌새::PUP Info

 

국내에서 제작된 SubShop 검색 도우미 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 프로그램 목록에 등록하지 않는 방식으로 설치되며, 다양한 폴더와 파일명을 통해 변종 프로그램이 다수 발견되고 있습니다.

 

프로그램이 설치된 환경에서는 인터넷 검색시 광고창 생성과 같은 수익 활동을 진행하며, 이번에 새로운 변종 프로그램에 대한 파일 정보가 수집되어 공개해 드리도록 하겠습니다.

 

■ SubShop 변종 프로그램(Ochsenm) 정보

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\Ochsenm.exe

MD5

 57918E62E83BB4B2312DB09ABFD079E4

디지털 서명

 yearsoft

파일 설명

 Sub Shop

제품 이름

 Sub Shop

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\OchsenmSvr.exe

MD5

 FA861BF6DD7D534792B8A9E694C0E362

진단명

 Adware/W32.KrAdword.16416 (nProtect)

디지털 서명

 yearsoft

파일 설명

 Sub Shop

제품 이름

 Sub Shop

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OchsenmSvr

비고

 서비스(OchsenmSvr) 등록 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\PCOlib.dll

MD5

 2D264FC068A6AFC1A8C4F13C44C42F77

진단명

 PUP/Win32. Bundles (AhnLab V3)

디지털 서명

 Adwill Communications Co., LTD.

파일 설명

 PC Clean Optimizer 프로그램

비고

 메모리 상주 파일

 

파일 경로

 C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\winpop.exe

MD5

 0900F9C8DF9BB6CAFC17B569F81FD3AD

진단명

 a variant of Win32/Adware.Kraddare.GC (ESET)

파일 설명

 winpop.exe

비고

 메모리 상주 프로세스

 

yearsoft 디지털 서명이 포함된 SubShop 검색 도우미 프로그램은 "C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm" 폴더에 파일을 생성하며, "OchsenmSvr" 서비스 항목을 등록하여 시스템 시작시 "C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\OchsenmSvr.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 광고 기능을 수행하는 파일을 로딩하여 인터넷 검색시 광고창 생성 등의 수익 활동이 이루어질 것으로 추정되며, 이번 SubShop 변종 프로그램에는 PC Clean Optimizer, 오픈팟(OpenPot) 계열의 광고 모듈이 포함되어 있는 것이 특징입니다.

 

해당 프로그램의 삭제는 제어판에는 삭제 항목이 등록되어 있지 않지만, 프로그램 폴더 내에는 삭제 파일이 존재하므로 "C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm\uninstall.exe" 파일을 찾아 직접 실행하시면 프로그램 삭제를 할 수 있을 것으로 보입니다.

 

만약 사용자가 직접 프로그램을 삭제할 필요가 있는 경우에는 다음의 내용을 참고하여 삭제를 진행하시기 바랍니다.

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "OchsenmSvr"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 Ochsenm.exe, winpop.exe 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\Ochsenm" 폴더를 찾아 삭제하시기 바랍니다.

 

SubShop 검색 도우미 프로그램은 Microsoft AD WS, Now Dream Service Application, TabStation 등으로 알려진 다양한 변종 프로그램이 존재하는 것으로 파악되고 있으며, 제어판에 등록되지 않는 문제로 사용자는 해당 광고 프로그램의 설치 여부를 확인하기 매우 어려우므로 주의하시기 바랍니다.