울지않는벌새 : Security, Movie & Society

제휴(스폰서) 프로그램 : BrowserShot - BSUpdate

벌새::Analysis
● 최초 작성 : 2015년 8월 23일

● 1차 수정 : 2015년 9월 16일 - "TredSyncmon - Tred" 변종 정보 제거

 

메모리 최적화를 목적으로 실행 중인 웹 브라우저를 모두 종료하는 Browser Shot 프로그램 설치를 통해 추가적인 광고 프로그램 설치를 유도할 수 있는 삭제를 정상적으로 지원하지 않는 사례를 소개해 드린적이 있었습니다.

해당 게시글 이후 변종 프로그램이 다수 제작되어 배포가 이루어지고 있는 부분이 확인되고 있기에 BrowserShot 변종 프로그램에 대해 살펴보도록 하겠습니다.

  • 설치 파일 (SHA-1 : 83aecefd24aca71a0edda5b8009127438376111c) - ESET : a variant of Win32/Adware.BrowShot.B (VT : 22/56)
[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\GAC\BrowserShot
C:\Program Files\GAC\BrowserShot\BrowserShot.exe :: "Browser Shot" 프로그램 실행 파일
C:\Program Files\GAC\BSUpdate
C:\Program Files\GAC\BSUpdate\BSUpdate.exe :: 시작 프로그램(BSUpdate) 등록 파일
C:\Program Files\GAC\BSUpdate\Uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\GAC\BrowserShot\BrowserShot.exe
 - SHA-1 : b2ed6e69bde33e31a23f80517d5b0659cdcdb76a
 - AhnLab V3 365 Clinic : PUP/Win32.Downloader.R162501 (VT : 10/56)

 

C:\Program Files\GAC\BSUpdate\BSUpdate.exe
 - SHA-1 : 429ed392a9740e0cdda2217716762bda7541a294
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.jbee (VT : 17/56)

"Good Ad Comms." 디지털 서명이 포함된 BrowserShot 프로그램은 "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\BSUpdate" 폴더에 파일을 각각 생성합니다.("C:\Program Files\GAC" 폴더 자체는 다른 정상적인 프로그램이 사용할 수 있는 폴더로 추정되므로 함부로 삭제하지 마시기 바랍니다.)

BrowserShot 프로그램 설치를 통해 추가된 "C:\Program Files\GAC\BrowserShot\BrowserShot.exe" 파일을 사용자가 직접 실행할 경우 메모리 확보를 통해 실행 중인 모든 웹 브라우저를 종료할 수 있는 "Browser Shot" 프로그램이 실행됩니다.

 

하지만 BrowserShot 프로그램의 핵심 기능은 다음과 같은 자동 실행되는 기능을 통해 특정 부팅 시점에서 다양한 제휴 프로그램을 설치할 목적으로 추정됩니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe

2개의 시작 프로그램(BSUpdate)을 등록하여 Windows 시작시 "C:\Program Files\GAC\BSUpdate\BSUpdate.exe" 파일(BrowserShot Update App)을 자동 실행하도록 구성되어 있습니다.

이를 통해 사용자 계정 컨트롤(UAC) 알림 기능을 사용하는 경우에는 BSUpdate 실행 여부를 사용자가 결정할 수 있으며, 만약 UAC 알림 기능이 OFF된 경우에는 자동으로 실행됩니다.(※ 다수의 Windows 사용자들이 사용자 계정 컨트롤(UAC) 알림 기능을 사용하지 않는 경우가 있으므로 사용하도록 설정하시기 바랍니다.)

만약 정상적으로 실행될 경우에는 특정 서버에 설치 및 실행 정보값을 전송하며, 추가적인 정보가 존재할 경우 추가적인 파일 다운로드를 통해 다양한 제휴 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

 

참고로 일부 설치 환경에서는 Windows 시작 후 "BrowShot Updater" 창이 작업 표시줄에 표시되는 증상이 발생할 수 있습니다.

 

BrowserShot 프로그램 삭제 방법

해당 프로그램의 삭제는 제어판 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "BrowserShot" 삭제 항목을 이용하여 제거할 수 있습니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BrowserShot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - BSUpdate = C:\Program Files\GAC\BSUpdate\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowserShot

 

업데이트 기능을 통해 다양한 광고 프로그램 설치를 목적으로 제작된 BrowserShot 프로그램은 지속적으로 변종이 제작될 가능성이 높으므로 프로그램 설치시 추가적으로 설치되는 제휴 프로그램이 포함되어 있는지 꼼꼼하게 확인하시기 바랍니다.