실행 중인 웹 브라우저를 일괄 종료하는 방식으로 메모리를 확보한다는 의미없는 프로그램을 다양한 배포 경로를 통해 설치하고 있는 BrowserShot 프로그램에 대해 소개한 적이 있었습니다.

최근 BrowserShot 프로그램<SHA-1 : 5befd9f728a9352a665b59610436565f63947c13 - AhnLab V3 365 Clinic : PUP/Win32.Agent.R161656 (VT : 17/55)>의 삭제를 위해 제어판을 통해 제거하는 과정에서 "Application Error" 오류창을 생성하여 프로그램 제거가 이루어지지 않는 문제를 확인되어 살펴보도록 하겠습니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\GAC
C:\Program Files\GAC\BrowserShot
C:\Program Files\GAC\BrowserShot\BrowserShot.exe :: BrowserShot 프로그램 실행 파일
C:\Program Files\GAC\BSUpdates
C:\Program Files\GAC\BSUpdates\BSUpdate.exe :: 시작 프로그램(BSUpdate) 등록 파일
C:\Program Files\GAC\BSUpdates\Uninstall.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\GAC\BrowserShot\BrowserShot.exe
 - SHA-1 : aebf9eb17d875a2d9ce1c372e24cc08a582e2fb0
 - Hauri ViRobot : Adware.Agent.831264[h] (VT : 12/55)

 

C:\Program Files\GAC\BSUpdates\BSUpdate.exe
 - SHA-1 : c61d994d194a9b5a7e3453be83622175475c4d1b
 - avast! : Win32:Evo-gen [Susp] (VT : 20/56)

 

C:\Program Files\GAC\BSUpdates\Uninstall.exe
 - SHA-1 : d1fc688c58d7ca7b7688785ff56a6ff5877295e6
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.jbee (VT : 13/56)

"Good Ad Comms." 디지털 서명이 포함된 해당 프로그램은 "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\BSUpdates" 폴더에 파일을 생성합니다.

사용자가 "C:\Program Files\GAC\BrowserShot\BrowserShot.exe" 파일을 직접 찾아 실행할 경우에는 실행 중인 모든 웹 브라우저를 종료(Kill)하여 메모리를 확보할 수 있는 Browser Shot 프로그램이 실행되지만 프로그램 설치 목적으로 포함된 의미없는 기능입니다.

 

핵심 기능은 Windows 시작시 "C:\Program Files\GAC\BSUpdates\BSUpdate.exe" 파일을 Run, RunOnce 시작 프로그램(BSUpdate) 등록값에 등록하여 자동 실행하여 "BrowserShot Updater" 기능을 수행하도록 구성되어 있습니다.

실행된 BSUpdate.exe 파일은 특정 서버(TLS/SSL)에서 파일 버전 체크값이 포함된 정보를 받아와 "C:\Program Files\GAC\BSUpdates\BrowserShot.ver" 파일을 임시 생성하여 체크한 후 자동 종료 및 삭제 처리됩니다.

  • h**ps://www.br****ot.kr/pu12/BSUpdate.exe
  • h**ps://www.br****ot.kr/pu12/Uninstall.exe

확인된 체크값은 "C:\Program Files\GAC\BSUpdates" 폴더에 존재하는 파일값으로 보이며, 차후 추가적인 파일이 서버에 등록된 경우 자동 업데이트(패치) 및 설치가 가능할 수 있습니다.

 

BrowserShot 프로그램 삭제 방법

현재 확인된 프로그램은 제어판에 표시된 BrowserShot 삭제 항목을 클릭할 경우 "Uninstall for BrowserShot" 창 생성을 통해 작동이 중지되었다는 메시지가 생성됩니다.

이후 "프로그램 닫기" 메뉴를 실행할 경우 "Application Error" 오류창 생성을 통해 "Exception EInOutError in module Uninstall.exe at 0022E1D6.Invalid file name - %s." 메시지만을 표시할 뿐 프로그램은 전혀 제거되지 않고 지속적으로 동작합니다.

 

그러므로 BrowserShot 프로그램 삭제시 위와 같은 오류 메시지로 인하여 제거되지 않을 경우 다음과 같은 절차에 따라 제거하시기 바랍니다.

 

(a) 다음의 폴더를 찾아 삭제하시기 바랍니다.

  • C:\Program Files\GAC\BrowserShot
  • C:\Program Files\GAC\BSUpdates

참고로 "C:\Program Files\GAC" 폴더 내에 BrowserShot, BSUpdates 폴더 외에 다른 폴더(파일)가 존재하지 않는다면 "C:\Program Files\GAC" 폴더 자체를 삭제해도 문제가 없습니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BrowserShot
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - BSUpdate = C:\Program Files\GAC\BSUpdates\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - BSUpdate = C:\Program Files\GAC\BSUpdates\BSUpdate.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowserShot

 

참고로 BrowserShot 프로그램은 변종에 따라 생성되는 폴더가 달라질 수 있는 것으로 확인되고 있으므로, 이 글에서 언급한 폴더에서 발견되지 않는다면 Malware Zero Kit (MZK) 도구를 이용하여 검사해 보시길 권장합니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..

댓글을 달아 주세요