울지않는벌새 : Security, Movie & Society

검색 도우미 : SubShop - sungso (2014.4.16)

벌새::PUP Info

 

인터넷 검색시 인터넷 쇼핑몰 광고창을 생성하는 검색 도우미 SubShop 변종 프로그램 정보가 수집되어 파일 정보를 공개해 드립니다.

 

SubShop 검색 도우미 프로그램은 변종에 따라 Windows 7 운영 체제 기준으로 "C:\Users\(사용자 계정)\AppData\Roaming" 폴더 내부에 다양한 폴더와 파일명으로 설치가 이루어지며, 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 삭제 항목에 등록하지 않는 악성 프로그램입니다.

 

■ SubShop 변종 프로그램(sungso) 정보(※ Windows XP 운영 체제 환경)

 

파일 경로

 C:\Documents and Settings\(사용자 계정)\Application Data\sungso\SafeZonelib.dll

MD5

 0DD0DD4A9CB9AD922B67D5204FEA00A3

진단명

 Adware/W32.KrAdword.5504000 (nProtect)

비고

 메모리 상주 파일

 

파일 경로

 C:\Documents and Settings\(사용자 계정)\Application Data\sungso\SLEsperant.exe

MD5

 1E1F8925C98C8F5FD4D039C8907C2377

진단명

 Trojan-Clicker.Win32.AdClicer.ax (Kaspersky)

디지털 서명

 LEEYEON Communication Co.,Ltd

파일 설명

 SLEsperant

제품 이름

 SLEsperant

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Documents and Settings\(사용자 계정)\Application Data\sungso\sungso.exe

MD5

 42CB33D6B0DEB253AE85F4D910E1D2E3

디지털 서명

 yearsoft

파일 설명

 Sub Shop Application

제품 이름

 Sub Shop

비고

 메모리 상주 프로세스

 

파일 경로

 C:\Documents and Settings\(사용자 계정)\Application Data\sungso\sungsov.exe

MD5

 FAEBFC9B85A04CF27F18C0F6588BA5E7

진단명

 PUP.Optional.SubShop.A (Malwarebytes)

디지털 서명

 yearsoft

파일 설명

 Sub Shop Application

제품 이름

 Sub Shop

레지스트리

등록값

 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sungsov

비고

 서비스(sungsov, 표시 이름 : SubShop) 등록 파일

 

yearsoft 디지털 서명이 포함된 SubShop 검색 도우미 변종 프로그램은 "C:\Documents and Settings\(사용자 계정)\Application Data\sungso" 폴더에 파일을 생성하며, "sungsov (표시 이름 : SubShop)" 서비스 항목을 등록하여 시스템 시작시 "C:\Documents and Settings\(사용자 계정)\Application Data\sungso\sungsov.exe" 파일을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 업데이트 체크 후 광고창 생성 기능을 수행하는 "C:\Documents and Settings\(사용자 계정)\Application Data\sungso\SLEsperant.exe", "C:\Documents and Settings\(사용자 계정)\Application Data\sungso\sungso.exe" 2개의 파일을 메모리에 상주하도록 구성되어 있습니다.

 

SubShop 검색 도우미 프로그램은 사용자에 의한 프로그램 삭제를 방해할 목적으로 제어판의 삭제 항목에 등록하지 않는 방식으로 설치가 이루어지고 있으므로, "C:\Documents and Settings\(사용자 계정)\Application Data\sungso\uninstall.exe" 파일을 찾아 실행하시면 프로그램 삭제를 진행할 수 있습니다.

 

만약 수동으로 프로그램 삭제를 원하는 경우에는 다음과 같은 절차에 따라 삭제를 진행하시기 바랍니다.(※ Windows 7 운영 체제 기준)

 

(a) "보조 프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "sungsov"] 명령어를 입력 및 실행하여 서비스 등록값을 자동으로 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 SLEsperant.exe, sungso.exe 2개의 프로세스를 찾아 종료하시기 바랍니다.

 

(c) Internet Explorer 웹 브라우저를 종료한 상태에서 "C:\Users\(사용자 계정)\AppData\Roaming\sungso" 폴더를 찾아 삭제하시기 바랍니다.

 

SubShop 프로그램 내부에는 "LEEYEON Communication Co.,Ltd" 디지털 서명이 포함된 SLEsperant.exe 광고 모듈이 함께 포함된 광고 배포 프로그램으로, DreamPrime, Microsoft AD WS, Now Dream Service Application, TabStation와 같은 다양한 배포 도구를 통해 상당한 변종이 발견되고 있습니다.

 

특히 이들 프로그램의 공통점은 제어판에 등록하지 않기 때문에 사용자는 광고 프로그램을 찾을 수 없으며, 웹 브라우저 사용시 지속적으로 원치않는 광고창을 생성하여 돈벌이를 하고 있으므로 설치되지 않도록 주의하시기 바랍니다.