제휴(스폰서) 프로그램 : BSCheckIt

업데이트 기능을 이용하여 추가적인 제휴 프로그램 설치 목적으로 제작된 BSCheckIt 프로그램에 대해 살펴보도록 하겠습니다.

 

• 웹 브라우저 종료 프로그램으로 위장한 BrowserShot 악성 프로그램 주의 (2015.7.19)

• "Application Error" 오류창을 생성하는 BrowserShot 프로그램 제거 방법 (2015.9.5)

• 제휴(스폰서) 프로그램 : BrowserShot - BSUpdate (2015.9.16)

BSCheckIt 프로그램은 기존의 유사한 기능을 가진 BrowserShot 프로그램의 변종이므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\GAC
C:\Program Files\GAC\BrowserShot
C:\Program Files\GAC\BrowserShot\uninstall.exe
C:\Program Files\GAC\CheckIt
C:\Program Files\GAC\CheckIt\CheckIt.exe :: 시작 프로그램(CheckIt) 등록 파일
C:\Program Files\GAC\CheckIt\CheckIt.ver
C:\Program Files\GAC\CheckIt\delete.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\GAC\BrowserShot\uninstall.exe
 - SHA-1 : e62fa76741418b2bf7ac145c54537d84cf51b8aa
 - avast! : Win32:Evo-gen [Susp] (VT : 19/55)

 

C:\Program Files\GAC\CheckIt\CheckIt.exe
 - SHA-1 : fa641097264d197a4074dc19f5f11b4cd5013eb7
 - ESET : a variant of Win32/Adware.BrowShot.A (VT : 27/56)

 

C:\Program Files\GAC\CheckIt\delete.exe
 - SHA-1 : c0680348a88d675502f3042acf4d12f1fdfd1c40
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.jbee (VT : 7/56)

"Good Ad Comms." 디지털 서명이 포함된 BSCheckIt 프로그램은 "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\CheckIt" 폴더에 파일을 각각 생성합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - CheckIt = C:\Program Files\GAC\CheckIt\CheckIt.exe

RunOnce 시작 프로그램 영역에 CheckIt 항목을 등록하여 Windows 시작시 "C:\Program Files\GAC\CheckIt\CheckIt.exe" 파일을 자동 실행하도록 구성되어 있습니다.(※ 해당 파일은 이스트소프트(ESTsoft) 업체에서 제공하는 체크잇(CheckIt) 프로그램의 실행 파일(C:\Program Files\ESTsoft\CheckIt\CheckIt.exe)과 동일한 이름을 사용하므로 혼동하지 않도록 주의하시기 바랍니다.)

자동 실행된 CheckIt.exe 파일은 특정 광고 서버에서 프로그램 업데이트 정보를 체크하며, 만약 추가적인 제휴 프로그램 구성값이 포함되어 있을 경우 다양한 광고 프로그램 설치를 유도할 수 있으므로 주의하시기 바랍니다.

Exception EInOutError in module uninstall.exe at 0022C9D2.
Invalid file name - %s.

생성 파일 중 "C:\Program Files\GAC\BrowserShot\uninstall.exe" 파일은 BrowserShot 프로그램의 삭제 파일(Uninstall for BrowserShot)이며, 사용자가 직접 실행할 경우 "Application Error" 오류창이 생성되는 쓰레기 파일입니다.

 

■ BSCheckIt 프로그램 삭제 방법

 

해당 프로그램이 설치된 환경에서는 제어판에 등록된 BSCheckIt 삭제 항목을 이용하여 제거할 수 있도록 구성되어 있습니다.

Exception EInOutError in module delete.exe at 0022E1D6.
Invalid file name - %s.

하지만 BSCheckIt 삭제 항목을 이용하여 프로그램 제거를 진행할 경우 "C:\Program Files\GAC\CheckIt\delete.exe" 파일이 동작하는 과정에서 "Application Error" 오류창을 생성하며 프로그램 삭제에 실패합니다.

 

특히 해당 프로그램 운영자 측에서는 AhnLab V3 Lite, 알약(ALYac) 백신이 삭제 파일을 진단하여 프로그램 제거가 이루어지지 않는다고 공지하고 있지만, 실제로는 백신 진단 여부와 무관하게 프로그램 삭제가 이루어지지 않습니다.

 

그러므로 프로그램 제공하는 삭제 기능을 이용하여 제거되지 않을 경우에는 다음과 같은 절차에 따라 삭제하시기 바랍니다.

 

(a) "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\CheckIt" 폴더를 찾아 삭제하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BSCheckIt
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - CheckIt = C:\Program Files\GAC\CheckIt\CheckIt.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BSCheckIt

 

BSCheckIt 프로그램은 다양한 제휴 프로그램 설치 기능을 가진 광고 배포용 프로그램이며, 프로그램 삭제시 오류를 유발하여 삭제를 방해하고 있으므로 설치되지 않도록 주의하시기 바랍니다.

 

[관련글 보기]

 

☞ 제휴(스폰서) 프로그램 : TredSyncmon - Tred (2015.9.16)

 

☞ 제휴(스폰서) 프로그램 : TredSyncmon - Tred3 (2015.9.16)