인터넷 검색 및 웹 사이트 접속시 자동으로 광고 팝업창을 생성할 수 있는 국내에서 제작된 "BuzzCon for Win32" 광고 프로그램(SHA-1 : cfe737339a675e24ef926e4f21852116534aa7df - Hauri ViRobot : Adware.Kraddare.415632[h])의 변종 정보가 수집되어 살펴보도록 하겠습니다.
해당 광고 프로그램은 기존의 유사한 기능을 가진 "Micro MatchTab for Win32" 광고 프로그램의 업데이트 버전으로 알려져 있으므로 참고하시기 바랍니다.
|
파일 경로 |
C:\ProgramData\BuzzCon\buzzcon.exe |
|
SHA-1 |
dbdf7d6024ac3bec6dca8d9a31d176262126bee8 |
|
진단명 |
Win32:Adware-BRI [Adw] (avast!) |
|
디지털 서명 |
Donkey CORP. |
|
레지스트리 등록값 |
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run |
|
비고 |
시작 프로그램(BUZZCON) 등록 파일, 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) 등록 파일, 예약 작업(bccbrqyqwmain) 등록 파일, 메모리 상주 프로세스 |
|
파일 경로 |
C:\ProgramData\BuzzCon\buzzcon_unin.exe |
|
SHA-1 |
424b4ba0ad71c01ee7d7551955dda4ed5b9a0543 |
|
진단명 |
PUP/Win32.Dropper.R165278 (AhnLab V3 365 Clinic) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
프로그램 삭제 파일 |
|
파일 경로 |
C:\ProgramData\BuzzCon\buzzconm.exe |
|
SHA-1 |
a06caabf051a5f36c975ec958936181557738c1f |
|
진단명 |
Gen:Variant.Adware.Graftor.175958 (BitDefender) |
|
디지털 서명 |
Donkey CORP. |
|
레지스트리 등록값 |
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bccbrqyqwm |
|
비고 |
서비스(bccbrqyqwm) 등록 파일 |
|
파일 경로 |
C:\ProgramData\BuzzCon\buzzcons.exe |
|
SHA-1 |
eaa1e66b797f2a8958574e77e17afca4191bc6e5 |
|
진단명 |
Adware.BuzzCon.407952[h] (Hauri ViRobot) |
|
디지털 서명 |
Donkey CORP. |
|
비고 |
예약 작업(bccbrqyqws) 등록 파일 |
"Donkey CORP." 디지털 서명이 포함된 "BuzzCon for Win32" 광고 프로그램은 "C:\ProgramData\BuzzCon" 폴더에 파일을 생성합니다.
- 서비스(bccbrqyqwm, 표시 이름 : Buzzcon Service) : "C:\ProgramData\BuzzCon\buzzconm.exe" /srv
- 시작 프로그램(BUZZCON) : "C:\ProgramData\BuzzCon\buzzcon.exe" /run
- 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) : C:\ProgramData\BuzzCon\buzzcon.exe
- 예약 작업(bccbrqyqwmain) : C:\ProgramData\BuzzCon\buzzcon.exe /sch
- 예약 작업(bccbrqyqws) : C:\ProgramData\BuzzCon\buzzcons.exe /sch
"BuzzCon for Win32" 광고 프로그램은 Windows 시작시 서비스, 시작 프로그램, 시작프로그램 폴더, 예약 작업 영역에 등록된 다양한 자동 실행값을 이용하여 자동 실행되어 프로그램 업데이트 및 광고 구성값을 체크한 후 광고 기능을 수행하는 buzzcon.exe 파일을 메모리에 상주시키도록 구성되어 있습니다.
프로그램 업데이트 부분을 살펴보면 서버에서 암호화된 파일 정보를 체크하여 상위 버전이 존재할 경우 "C:\ProgramData\BuzzCon\temp" 폴더에 다운로드 후 패치되도록 구성되어 있으며, 이 과정에서 가상 환경 및 특정 분석 도구가 설치되어 있는 경우 동작하지 않도록 구성되어 있습니다.
광고 동작의 경우에는 Internet Explorer 웹 브라우저 이용 과정에서 서버에서 암호화된 구성값을 체크하여 특정 광고 서버를 경유한 광고 팝업창이 생성될 수 있습니다.
■ "BuzzCon for Win32" 광고 프로그램 삭제 방법
기본적으로 프로그램 삭제는 제어판에 등록된 "BuzzCon for Win32" 삭제 항목을 이용하여 제거할 수 있지만, 일부 설치 환경에서는 제어판에 등록되지 않는 것으로 확인되고 있으므로 "C:\ProgramData\BuzzCon\buzzcon_unin.exe" 삭제 파일을 찾아 직접 실행하여 제거하실 수 있습니다.
만약 프로그램 삭제 기능을 통해 제거할 수 없는 경우에는 다음의 절차를 참고하여 삭제하시기 바랍니다.
(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bccbrqyqwm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.
(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 buzzcon.exe 프로세스를 찾아 모두 종료하시기 바랍니다.
(c) 다음의 폴더(파일)를 찾아 삭제하시기 바랍니다.
- C:\ProgramData\BuzzCon
- C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk
- C:\Windows\System32\Tasks\bccbrqyqwmain.job
- C:\Windows\System32\Tasks\bccbrqyqws.job
- C:\Windows\Tasks\bccbrqyqwmain
- C:\Windows\Tasks\bccbrqyqws
(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run
50여종 이상의 백신 엔진을 이용하여 악성코드 및 불필요한 프로그램(PUP) 실행을 더욱 효과적으로 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하여 보호하시길 권장합니다.
'벌새::PUP Info' 카테고리의 다른 글
| 벌새 블로그가 선정한 2015년 불필요한 프로그램(PUP/PUA) (2015.12.1) (42) | 2015.12.01 |
|---|---|
| 검색 도우미 : LuckyTool - brian (2015.11.30) (0) | 2015.11.30 |
| 검색 도우미 : BuzzCon for Win32 - bccbrqyqwm (2015.11.29) (4) | 2015.11.29 |
| 검색 도우미 : TargetService - tsstqowvqm.exe (2015.11.19) (2) | 2015.11.19 |
| 검색 도우미 : Windows Frame Related - rfstqowvqm.exe (2015.11.18) (0) | 2015.11.18 |
| 검색 도우미 : Windows GearExtion - gemegpnvup.exe (2015.11.17) (0) | 2015.11.17 |
울지않는 벌새
울지않는벌새가 되고 싶은 나..
