본문 바로가기
벌새::Analysis

해외 광고 프로그램 : SavePass

벌새 2014. 6. 21. 15:10
반응형

인터넷 검색시 "Powered by Deal Finder"에서 제공하는 "Visual Search results" 광고를 노출시키는 SavePass 해외 광고 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램의 대표적인 유포 방식에 대해서 기존에 소개한 정보를 참고하시기 바라며, SavePass 광고 프로그램 설치시에는 "Google Update Helper" 프로그램으로 위장한 globalUpdate 악성 프로그램이 함께 설치되므로 함께 제거를 하시기 바랍니다.

 

설치 과정을 살펴보면 특정 서버로부터 다운로드된 설치 파일<SHA-1 : 8739c4a7069c40ef50b16c4c0a9f6fe53c111753 - AhnLab V3 : PUP/Win32.MulDrop.R108219 (VT : 7/54)>이 실행되면 "C:\Users\(사용자 계정)\AppData\Local\Temp\(영문+숫자).tmp\Bssaepknc.exe" 파일<SHA-1 : e3665e27ebb8cc1bf83e552d96530fc41d53cd0d - AhnLab V3 : PUP/Win32.MulDrop.C352968 (VT : 12/54)>을 생성하여 프로그램 설치가 진행됩니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\SavePass
C:\Program Files\SavePass\57050.xpi
C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2) 등록 파일
C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4) 등록 파일
C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5) 등록 파일
C:\Program Files\SavePass\background.html
C:\Program Files\SavePass\bgNova.html
C:\Program Files\SavePass\SavePass-bg.exe
C:\Program Files\SavePass\SavePass-bho.dll :: BHO 등록 파일
C:\Program Files\SavePass\SavePass-codedownloader.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1) 등록 파일
C:\Program Files\SavePass\SavePass-nova.dll
C:\Program Files\SavePass\SavePass-nova.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7) 등록 파일, 메모리 상주 프로세스(10분)
C:\Program Files\SavePass\SavePass-novainstaller.exe :: 예약 작업(5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6) 등록 파일
C:\Program Files\SavePass\SavePass.ico
C:\Program Files\SavePass\Uninstall.exe :: 프로그램 삭제 파일
C:\Program Files\SavePass\utils.exe
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6
C:\Windows\System32\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1.job
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2.job
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4.job
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5.job
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6.job
C:\Windows\Tasks\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7.job

 

[생성 파일 진단 정보]

 

C:\Program Files\SavePass\57050.xpi
 - SHA-1 : 10496350cabaf2a158ad6608d3cf9f24b2bf9c1c
 - ESET : JS/Toolbar.Crossrider.B (VT : 3/53)

 

C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2.exe
 - SHA-1 : 0faac492def5ad25e34855fe9ff8a6370c02d191
 - BitDefender : Trojan.Generic.11370343 (VT : 21/54)

 

C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4.exe
 - SHA-1 : 2c45d8ca4c458b218a0dce83060a62c858122652
 - Avira : Adware/CrossRider.A.6268 (VT : 11/54)

 

C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5.exe
 - SHA-1 : 3fd952bc04453a30f4cd5fb9032f8e4943c7d4dd
 - Symantec : Trojan.Gen.2 (VT : 25/54)

 

C:\Program Files\SavePass\SavePass-bg.exe
 - SHA-1 : 0bf75922447cba40d2e6e4cc014e61efc284ce51
 - avast! : Win32:Dropper-gen [Drp] (VT : 27/53)

 

C:\Program Files\SavePass\SavePass-bho.dll
 - SHA-1 : be8821082049e85e8e48c0ec3c39b1154b91929a
 - ESET : a variant of Win32/Toolbar.CrossRider.AF (VT : 10/51)

 

C:\Program Files\SavePass\SavePass-codedownloader.exe (= C:\Program Files\SavePass\SavePass-novainstaller.exe)
 - SHA-1 : fbbe047575501d94df953950987c36320a11857f
 - BitDefender : Trojan.Generic.11378568 (VT : 21/54)

 

C:\Program Files\SavePass\SavePass-nova.dll
 - SHA-1 : 2c91e732f0f0ebc4066796237e55f0857b729fcf
 - ESET : a variant of Win32/Toolbar.CrossRider.AI (VT : 6/54)

 

C:\Program Files\SavePass\SavePass-nova.exe
 - SHA-1 : 6e1ca9c52691847a9b4f05deb6e0de1937238c41
 - Avira : Adware/CrossRider.A.6271 (VT : 10/53)

 

C:\Program Files\SavePass\utils.exe
 - SHA-1 : 87d42d37dd9e8f9fc11fe8e54eda36da9b5718a9
 - Symantec : Trojan.ADH.SMH (VT : 12/54)

해당 프로그램은 "C:\Program Files\SavePass" 폴더에 파일을 생성하며, 시스템 시작시 다음과 같은 다양한 작업 스케줄러를 통해 프로그램을 자동 실행하도록 구성되어 있습니다.

  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1 :: C:\Program Files\SavePass\SavePass-codedownloader.exe
  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2 :: C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2.exe
  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4 :: C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4.exe
  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5 :: C:\Program Files\SavePass\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5.exe
  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6 :: C:\Program Files\SavePass\SavePass-novainstaller.exe
  • 5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7 :: C:\Program Files\SavePass\SavePass-nova.exe

예약 작업 영역에 6개의 작업 스케줄러 항목을 등록하여 자동 실행된 파일들은 특정 광고 서버에서 업데이트 및 광고 구성값 정보를 체크합니다.

이를 통해 최종적으로는 "C:\Program Files\SavePass\SavePass-nova.exe" 파일이 메모리에 10분간 상주한 후 자동 종료 처리가 이루어집니다.

프로그램이 설치된 환경에서 사용자가 Internet Explorer 웹 브라우저를 실행할 경우 iexplore.exe 프로세스 하위에 ["C:\program files\savepass\savepass-bg.exe" /nArND] 프로세스를 자동 상주시킵니다.

 

이름

 SavePass

게시자

 OutBrowse

유형

 브라우저 도우미 개체

CLSID

 {11111111-1111-1111-1111-110511701150}

파일

 C:\Program Files\SavePass\SavePass-bho.dll

 

또한 Internet Explorer 웹 브라우저 동작시 "C:\Program Files\SavePass\SavePass-bho.dll" 파일을 SavePass 브라우저 도우미 개체(BHO) 등록을 통해 광고 기능을 수행하도록 되어 있으므로 해당 항목을 찾아 "사용 안 함"으로 변경하시기 바랍니다.

실제 광고 동작을 확인해보면 구글(Google) 검색 과정에서 검색 결과 내부에 "Powered by Deal Finder"에서 제공하는 "Visual Search results" 이미지 광고를 노출할 수 있습니다.

또한 SavePass 프로그램이 생성한 "C:\Program Files\SavePass\57050.xpi" 파일을 이용하여 Mozilla Firefox 웹 브라우저의 확장 기능에 "SavePass 0.94.8" 플러그인을 축하여 유사한 광고 기능을 수행할 수 있습니다.

 

그러므로 Mozilla Firefox 웹 브라우저 사용자는 SavePass 광고 프로그램이 설치된 경우 추가적으로 확장 기능에 등록된 플러그인을 찾아 제거하시기 바랍니다.

프로그램 삭제시에는 Windows 작업 관리자를 실행하여 SavePass-nova.exe 프로세스가 존재할 경우 종료한 후, Internet Explorer 웹 브라우저를 종료한 상태에서 제어판에 등록된 "SavePass" 삭제 항목을 이용하여 삭제할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\AppDataLow\Software\SavePass
HKEY_CURRENT_USER\Software\InstalledBrowserExtensions\OutBrowse
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Approved Extensions
 - {11111111-1111-1111-1111-110511701150}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3d2f31f2-06c9-49d2-9ceb-74af75caeb58}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4E5B1DD5-C5A2-4275-947A-EFFDFC5B6CFD}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5A916348-934A-406C-A02D-2D3EAF5C270}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{70CF2A00-3EEE-4CE5-B962-FAFAF57E74B1}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{C1905E90-22B7-4410-9953-47A7B6E7F8C7}
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{cb1f0b5b-21ad-4204-a7cd-ae2ad82d4376}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{11111111-1111-1111-1111-110511701150}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{22222222-2222-2222-2222-220522702250}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0057050.BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0057050.BHO.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0057050.Sandbox
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CrossriderApp0057050.Sandbox.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{44444444-4444-4444-4444-440544704450}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3d2f31f2-06c9-49d2-9ceb-74af75caeb58}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{cb1f0b5b-21ad-4204-a7cd-ae2ad82d4376}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Browser Helper Objects\{11111111-1111-1111-1111-110511701150}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SavePass
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1294FBE8-5E09-48B3-B9AF-95B1728C3715}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{38122F04-773A-43D4-9B24-EB77A8B35E35}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{39348805-75FD-4916-8AEA-50F6EAA35AB5}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{60635DB6-4BE9-4A57-8161-7A5FF839BD46}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ACB94355-1E77-476B-8565-92E2EE435348}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CBB24782-3743-4B13-B8DE-9F1E451F7A9A}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-4
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-5
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-6
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\5aa3d933-32c7-4b03-9bcf-13d56020c4b9-7
HKEY_LOCAL_MACHINE\SOFTWARE\SavePass

 

해외 광고 프로그램 시리즈로 유명한 OutBrowse 계열의 SavePass 광고 프로그램은 해외 인터넷 사용자를 대상으로 광고를 진행하므로 국내에서는 큰 영향을 주지는 않지만, 해외 사이트에서 다운로드된 파일을 실행하는 과정에서 부주의하게 설치되는 경우가 빈번하며 설치시 추가적으로 설치되는 광고 프로그램이 많으므로 매우 주의하시기 바랍니다.

728x90
반응형

티스토리툴바