인터넷 검색 및 웹 사이트 접속시 자동으로 광고 팝업창을 생성할 수 있는 국내에서 제작된 "BuzzCon for Win32" 광고 프로그램(SHA-1 : cfe737339a675e24ef926e4f21852116534aa7df - Hauri ViRobot : Adware.Kraddare.415632[h])의 변종 정보가 수집되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존의 유사한 기능을 가진 "Micro MatchTab for Win32" 광고 프로그램의 업데이트 버전으로 알려져 있으므로 참고하시기 바랍니다.
파일 경로 |
C:\ProgramData\BuzzCon\buzzcon.exe |
SHA-1 |
dbdf7d6024ac3bec6dca8d9a31d176262126bee8 |
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
디지털 서명 |
Donkey CORP. |
레지스트리 등록값 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run |
비고 |
시작 프로그램(BUZZCON) 등록 파일, 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) 등록 파일, 예약 작업(bccbrqyqwmain) 등록 파일, 메모리 상주 프로세스 |
파일 경로 |
C:\ProgramData\BuzzCon\buzzcon_unin.exe |
SHA-1 |
424b4ba0ad71c01ee7d7551955dda4ed5b9a0543 |
진단명 |
PUP/Win32.Dropper.R165278 (AhnLab V3 365 Clinic) |
디지털 서명 |
Donkey CORP. |
비고 |
프로그램 삭제 파일 |
파일 경로 |
C:\ProgramData\BuzzCon\buzzconm.exe |
SHA-1 |
a06caabf051a5f36c975ec958936181557738c1f |
진단명 |
Gen:Variant.Adware.Graftor.175958 (BitDefender) |
디지털 서명 |
Donkey CORP. |
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bccbrqyqwm |
비고 |
서비스(bccbrqyqwm) 등록 파일 |
파일 경로 |
C:\ProgramData\BuzzCon\buzzcons.exe |
SHA-1 |
eaa1e66b797f2a8958574e77e17afca4191bc6e5 |
진단명 |
Adware.BuzzCon.407952[h] (Hauri ViRobot) |
디지털 서명 |
Donkey CORP. |
비고 |
예약 작업(bccbrqyqws) 등록 파일 |
"Donkey CORP." 디지털 서명이 포함된 "BuzzCon for Win32" 광고 프로그램은 "C:\ProgramData\BuzzCon" 폴더에 파일을 생성합니다.
- 서비스(bccbrqyqwm, 표시 이름 : Buzzcon Service) : "C:\ProgramData\BuzzCon\buzzconm.exe" /srv
- 시작 프로그램(BUZZCON) : "C:\ProgramData\BuzzCon\buzzcon.exe" /run
- 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) : C:\ProgramData\BuzzCon\buzzcon.exe
- 예약 작업(bccbrqyqwmain) : C:\ProgramData\BuzzCon\buzzcon.exe /sch
- 예약 작업(bccbrqyqws) : C:\ProgramData\BuzzCon\buzzcons.exe /sch
"BuzzCon for Win32" 광고 프로그램은 Windows 시작시 서비스, 시작 프로그램, 시작프로그램 폴더, 예약 작업 영역에 등록된 다양한 자동 실행값을 이용하여 자동 실행되어 프로그램 업데이트 및 광고 구성값을 체크한 후 광고 기능을 수행하는 buzzcon.exe 파일을 메모리에 상주시키도록 구성되어 있습니다.
프로그램 업데이트 부분을 살펴보면 서버에서 암호화된 파일 정보를 체크하여 상위 버전이 존재할 경우 "C:\ProgramData\BuzzCon\temp" 폴더에 다운로드 후 패치되도록 구성되어 있으며, 이 과정에서 가상 환경 및 특정 분석 도구가 설치되어 있는 경우 동작하지 않도록 구성되어 있습니다.
광고 동작의 경우에는 Internet Explorer 웹 브라우저 이용 과정에서 서버에서 암호화된 구성값을 체크하여 특정 광고 서버를 경유한 광고 팝업창이 생성될 수 있습니다.
■ "BuzzCon for Win32" 광고 프로그램 삭제 방법
기본적으로 프로그램 삭제는 제어판에 등록된 "BuzzCon for Win32" 삭제 항목을 이용하여 제거할 수 있지만, 일부 설치 환경에서는 제어판에 등록되지 않는 것으로 확인되고 있으므로 "C:\ProgramData\BuzzCon\buzzcon_unin.exe" 삭제 파일을 찾아 직접 실행하여 제거하실 수 있습니다.
만약 프로그램 삭제 기능을 통해 제거할 수 없는 경우에는 다음의 절차를 참고하여 삭제하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bccbrqyqwm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 buzzcon.exe 프로세스를 찾아 모두 종료하시기 바랍니다.
(c) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\ProgramData\BuzzCon
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk
- C:\Windows\System32\Tasks\bccbrqyqwmain.job
- C:\Windows\System32\Tasks\bccbrqyqws.job
- C:\Windows\Tasks\bccbrqyqwmain
- C:\Windows\Tasks\bccbrqyqws
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run
50여종 이상의 백신 엔진을 이용하여 악성코드 및 불필요한 프로그램(PUP) 실행을 더욱 효과적으로 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하여 보호하시길 권장합니다.
벌새님
와이어샤크 사용하는 방법 가르쳐 주세요
그림설명 해 주세요
다 영어라서 하나도 몰라요
부탁 드려요
Wireshark 프로그램 자체의 기능이 너무 방대해서 제가 설명을 드리기에는 무리입니다.
https://www.wireshark.org/docs/wsug_html_chunked/
우선은 제작사에서 안내하는 기본 매뉴얼과 각 기능에 대해 하나씩 검색하면서 한글로 설명한 내용을 찾으시는게 좋습니다.
또한 서점에서 관련 사용법에 대한 안내서가 출간되어 있습니다. 죄송합니다.ㅠ
비밀댓글입니다
오래전에 세팅을 해서 정확하게 기억나지 않지만 아마도 목록형에서 약간 수정한 것으로 보입니다.
비밀댓글입니다