본문 바로가기

벌새::Analysis

제휴(스폰서) 프로그램 : BSCheckIt2

반응형

업데이트 창 생성을 통해 다양한 국내 광고 프로그램 설치를 유도할 수 있는 국내에서 제작된 BSCheckIt2 프로그램에 대해 살펴보도록 하겠습니다.

해당 프로그램은 실제로는 프로그램 자체가 삭제를 지원하지 않으면서 국내 무료 백신이 삭제를 방해한다는 핑계로 지속적으로 변종을 유포하고 있으므로 참고하시기 바랍니다.

 

[생성 폴더 / 파일 등록 정보]

 

C:\Program Files\GAC
C:\Program Files\GAC\BrowserShot
C:\Program Files\GAC\BrowserShot\uninstall.exe
C:\Program Files\GAC\CheckIt
C:\Program Files\GAC\CheckIt\CheckIt2.exe :: 시작 프로그램(CheckIt2) 등록 파일
C:\Program Files\GAC\CheckIt\CheckIt2.ver
C:\Program Files\GAC\CheckIt\delete.exe :: 프로그램 삭제 파일

 

[생성 파일 진단 정보]

 

C:\Program Files\GAC\BrowserShot\uninstall.exe
 - SHA-1 : 1d6cd3ed7739fbe40e8a8a9009fc3ddf4a974f79
 - BitDefender : Trojan.GenericKD.2747962 (VT : 30/56)

 

C:\Program Files\GAC\CheckIt\CheckIt2.exe
 - SHA-1 : f423821f4c669c5b7b39f776f96086dff89970b4
 - Hauri ViRobot : Adware.Goodad.818456[h] (VT : 35/56)

 

C:\Program Files\GAC\CheckIt\delete.exe
 - SHA-1 : c16022b0a9a4f263b68d1ddf29719f8c12cca3e2
 - Kaspersky : not-a-virus:AdWare.Win32.Agent.jbee (VT : 6/55)

"Good Ad Comms." 디지털 서명이 포함된 BSCheckIt2 프로그램은 "C:\Program Files\GAC\BrowserShot", "C:\Program Files\GAC\CheckIt" 폴더에 파일을 각각 생성합니다.

 

RunOnce 시작 프로그램 영역에 CheckIt2 자동 실행값을 추가하여 Windows 시작시마다 "C:\Program Files\GAC\CheckIt\CheckIt2.exe" 파일을 자동 실행하도록 구성되어 있으며, 이 과정에서 특정 서버에서 암호화된 구성값(CheckIt2.ver)을 체크하여 프로그램 및 추가적인 제휴 프로그램이 포함된 경우 업데이트 창 생성을 통해 설치를 유도할 수 있으므로 주의하시기 바랍니다.

BSCheckIt2 프로그램 설치로 생성된 "C:\Program Files\GAC\BrowserShot\uninstall.exe" 파일은 기존의 유사한 기능을 가진 BrowserShot 프로그램의 삭제 파일(Uninstall for BrowserShot)입니다.

Exception EInOutError in module uninstall.exe at 0022C9D2.
Invalid file name - %s.

하지만 실제 파일을 실행할 경우 "Application Error" 창을 생성하여 BrowserShot 프로그램 삭제가 정상적으로 이루어지지 않도록 제작된 것으로 판단됩니다.

 

BSCheckIt2 프로그램 삭제 파일

Exception EInOutError in module delete.exe at 0022E1D2.
Invalid file name - %s.

해당 프로그램은 제어판에 등록된 BSCheckIt2 삭제 항목을 통해 삭제할 수 있도록 지원하는 것처럼 설치되지만, 실제 삭제를 진행할 경우 국내 무료 백신 사용과 무관하게 "Application Error" 창을 생성하며 제거되지 않도록 제작되어 있습니다.

 

그러므로 제어판을 통한 프로그램 삭제가 이루어지지 않을 경우 다음과 같은 절차에 따라 제거하시기 바랍니다.

 

(a) "C:\Program Files\GAC" 폴더를 찾아 삭제하시기 바랍니다.

 

(b) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

 

[생성 레지스트리 등록 정보]

 

HKEY_CURRENT_USER\Software\BSCheckIt2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
 - CheckIt2 = C:\Program Files\GAC\CheckIt\CheckIt2.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BSCheckIt2

 

국내 광고 프로그램 배포 목적으로 제작된 BSCheckIt2 프로그램은 고의적으로 프로그램 삭제를 방해하고 있으며, 지속적으로 다양한 변종을 유포하고 있으므로 설치되지 않도록 각별히 주의하시기 바랍니다.

 



728x90
반응형