● 최초 작성 : 2015년 8월 23일

● 1차 수정 : 2015년 9월 16일 - "TredSyncmon - Tred" 변종 정보 제거

 

메모리 최적화를 목적으로 실행 중인 웹 브라우저를 모두 종료하는 Browser Shot 프로그램 설치를 통해 추가적인 광고 프로그램 설치를 유도할 수 있는 삭제를 정상적으로 지원하지 않는 사례를 소개해 드린적이 있었습니다.

해당 게시글 이후 변종 프로그램이 다수 제작되어 배포가 이루어지고 있는 부분이 확인되고 있기에 BrowserShot 변종 프로그램에 대해 살펴보도록 하겠습니다.

  • 설치 파일 (SHA-1 : 83aecefd24aca71a0edda5b8009127438376111c) - ESET : a variant of Win32/Adware.BrowShot.B (VT : 22/56)
[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\GAC\BrowserShot
C:\Program Files\GAC\BrowserShot\BrowserShot.exe :: "Browser Shot" 프로그램 실행 파일
C:\Program Files\GAC\BSUpdate
C:\Program Files\GAC\BSUpdate\BSUpdate.exe :: 시작 프로그램(BSUpdate) 등록 파일
C:\Program Files\GAC\BSUpdate\Uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\GAC\BrowserShot\BrowserShot.exe
 - SHA-1 : b2ed6e69bde33e31a23f80517d5b0659cdcdb76a
 - AhnLab V3 365 Clinic : PUP/Win32.Downloader.R162501 (VT : 10/56)

 

C:\Program Files\GAC\BSUpdate\BSUpdate.exe
 - SHA-1 : 429ed392a9740e0cdda2217716762bda7541a294
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.jbee (VT : 17/56)

"Good Ad Comms." 디지털 서명이 포함된 BrowserShot 프로그램은 "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\BSUpdate" 폴더에 파일을 각각 생성합니다.("C:\Program Files\GAC" 폴더 자체는 다른 정상적인 프로그램이 사용할 수 있는 폴더로 추정되므로 함부로 삭제하지 마시기 바랍니다.)

BrowserShot 프로그램 설치를 통해 추가된 "C:\Program Files\GAC\BrowserShot\BrowserShot.exe" 파일을 사용자가 직접 실행할 경우 메모리 확보를 통해 실행 중인 모든 웹 브라우저를 종료할 수 있는 "Browser Shot" 프로그램이 실행됩니다.

 

하지만 BrowserShot 프로그램의 핵심 기능은 다음과 같은 자동 실행되는 기능을 통해 특정 부팅 시점에서 다양한 제휴 프로그램을 설치할 목적으로 추정됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe

2개의 시작 프로그램(BSUpdate)을 등록하여 Windows 시작시 "C:\Program Files\GAC\BSUpdate\BSUpdate.exe" 파일(BrowserShot Update App)을 자동 실행하도록 구성되어 있습니다.

이를 통해 사용자 계정 컨트롤(UAC) 알림 기능을 사용하는 경우에는 BSUpdate 실행 여부를 사용자가 결정할 수 있으며, 만약 UAC 알림 기능이 OFF된 경우에는 자동으로 실행됩니다.(※ 다수의 Windows 사용자들이 사용자 계정 컨트롤(UAC) 알림 기능을 사용하지 않는 경우가 있으므로 사용하도록 설정하시기 바랍니다.)

만약 정상적으로 실행될 경우에는 특정 서버에 설치 및 실행 정보값을 전송하며, 추가적인 정보가 존재할 경우 추가적인 파일 다운로드를 통해 다양한 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

참고로 일부 설치 환경에서는 Windows 시작 후 "BrowShot Updater" 창이 작업 표시줄에 표시되는 증상이 발생할 수 있습니다.

 

BrowserShot 프로그램 삭제 방법

해당 프로그램의 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "BrowserShot" 삭제 항목을 이용하여 제거할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BrowserShot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowserShot

 

업데이트 기능을 통해 다양한 광고 프로그램 설치를 목적으로 제작된 BrowserShot 프로그램은 지속적으로 변종이 제작될 가능성이 높으므로 프로그램 설치시 추가적으로 설치되는 제휴 프로그램이 포함되어 있는지 꼼꼼하게 확인하시기 바랍니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..