검색 도우미 : BuzzCon for Win32 - bccbrqyqwm (2015.11.29) 울지않는벌새 : Security, Movie & Society

◇ 광고 프로그램 삭제 관련 문의 방법

인터넷 검색 및 웹 사이트 접속시 자동으로 광고 팝업창을 생성할 수 있는 국내에서 제작된 "BuzzCon for Win32" 광고 프로그램(SHA-1 : cfe737339a675e24ef926e4f21852116534aa7df - Hauri ViRobot : Adware.Kraddare.415632[h])의 변종 정보가 수집되어 살펴보도록 하겠습니다.

<Ec0nomist's Lab. 블로그> [Adware] BuzzCon 삭제 및 제거 정보 (2015.10.3)

해당 광고 프로그램은 기존의 유사한 기능을 가진 "Micro MatchTab for Win32" 광고 프로그램의 업데이트 버전으로 알려져 있으므로 참고하시기 바랍니다.

파일 경로	C:\ProgramData\BuzzCon\buzzcon.exe
SHA-1	dbdf7d6024ac3bec6dca8d9a31d176262126bee8
진단명	Win32:Adware-BRI [Adw] (avast!)
디지털 서명	Donkey CORP.
레지스트리 등록값	HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run
비고	시작 프로그램(BUZZCON) 등록 파일, 시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) 등록 파일, 예약 작업(bccbrqyqwmain) 등록 파일, 메모리 상주 프로세스

파일 경로	C:\ProgramData\BuzzCon\buzzcon_unin.exe
SHA-1	424b4ba0ad71c01ee7d7551955dda4ed5b9a0543
진단명	PUP/Win32.Dropper.R165278 (AhnLab V3 365 Clinic)
디지털 서명	Donkey CORP.
비고	프로그램 삭제 파일

파일 경로	C:\ProgramData\BuzzCon\buzzconm.exe
SHA-1	a06caabf051a5f36c975ec958936181557738c1f
진단명	Gen:Variant.Adware.Graftor.175958 (BitDefender)
디지털 서명	Donkey CORP.
레지스트리 등록값	HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bccbrqyqwm
비고	서비스(bccbrqyqwm) 등록 파일

파일 경로	C:\ProgramData\BuzzCon\buzzcons.exe
SHA-1	eaa1e66b797f2a8958574e77e17afca4191bc6e5
진단명	Adware.BuzzCon.407952[h] (Hauri ViRobot)
디지털 서명	Donkey CORP.
비고	예약 작업(bccbrqyqws) 등록 파일

"Donkey CORP." 디지털 서명이 포함된 "BuzzCon for Win32" 광고 프로그램은 "C:\ProgramData\BuzzCon" 폴더에 파일을 생성합니다.

서비스(bccbrqyqwm, 표시 이름 : Buzzcon Service) : "C:\ProgramData\BuzzCon\buzzconm.exe" /srv
시작 프로그램(BUZZCON) : "C:\ProgramData\BuzzCon\buzzcon.exe" /run
시작프로그램 폴더(C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk) : C:\ProgramData\BuzzCon\buzzcon.exe
예약 작업(bccbrqyqwmain) : C:\ProgramData\BuzzCon\buzzcon.exe /sch
예약 작업(bccbrqyqws) : C:\ProgramData\BuzzCon\buzzcons.exe /sch

"BuzzCon for Win32" 광고 프로그램은 Windows 시작시 서비스, 시작 프로그램, 시작프로그램 폴더, 예약 작업 영역에 등록된 다양한 자동 실행값을 이용하여 자동 실행되어 프로그램 업데이트 및 광고 구성값을 체크한 후 광고 기능을 수행하는 buzzcon.exe 파일을 메모리에 상주시키도록 구성되어 있습니다.

프로그램 업데이트 부분을 살펴보면 서버에서 암호화된 파일 정보를 체크하여 상위 버전이 존재할 경우 "C:\ProgramData\BuzzCon\temp" 폴더에 다운로드 후 패치되도록 구성되어 있으며, 이 과정에서 가상 환경 및 특정 분석 도구가 설치되어 있는 경우 동작하지 않도록 구성되어 있습니다.

광고 동작의 경우에는 Internet Explorer 웹 브라우저 이용 과정에서 서버에서 암호화된 구성값을 체크하여 특정 광고 서버를 경유한 광고 팝업창이 생성될 수 있습니다.

■ "BuzzCon for Win32" 광고 프로그램 삭제 방법

기본적으로 프로그램 삭제는 제어판에 등록된 "BuzzCon for Win32" 삭제 항목을 이용하여 제거할 수 있지만, 일부 설치 환경에서는 제어판에 등록되지 않는 것으로 확인되고 있으므로 "C:\ProgramData\BuzzCon\buzzcon_unin.exe" 삭제 파일을 찾아 직접 실행하여 제거하실 수 있습니다.

만약 프로그램 삭제 기능을 통해 제거할 수 없는 경우에는 다음의 절차를 참고하여 삭제하시기 바랍니다.

(a) "보조프로그램 → 명령 프롬프트" 메뉴를 "관리자 권한으로 실행"하여 생성된 명령 프롬프트 창에 [sc delete "bccbrqyqwm"] 명령어를 입력 및 실행하여 등록된 서비스 레지스트리 값을 자동 삭제하시기 바랍니다.

(b) Windows 작업 관리자를 실행하여 메모리에 상주하는 buzzcon.exe 프로세스를 찾아 모두 종료하시기 바랍니다.

C:\ProgramData\BuzzCon
C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk
C:\Windows\System32\Tasks\bccbrqyqwmain.job
C:\Windows\System32\Tasks\bccbrqyqws.job
C:\Windows\Tasks\bccbrqyqwmain
C:\Windows\Tasks\bccbrqyqws

(d) 레지스트리 편집기(regedit)를 실행하여 다음의 레지스트리 값을 찾아 삭제하시기 바랍니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe" /run

50여종 이상의 백신 엔진을 이용하여 악성코드 및 불필요한 프로그램(PUP) 실행을 더욱 효과적으로 차단할 수 있는 앱체크(AppCheck) 보조 백신을 함께 사용하여 보호하시길 권장합니다.

'벌새::PUP Info' 카테고리의 다른 글

벌새 블로그가 선정한 2015년 불필요한 프로그램(PUP/PUA) (2015.12.1) (42)	2015.12.01
검색 도우미 : LuckyTool - brian (2015.11.30) (0)	2015.11.30
검색 도우미 : BuzzCon for Win32 - bccbrqyqwm (2015.11.29) (4)	2015.11.29
검색 도우미 : TargetService - tsstqowvqm.exe (2015.11.19) (2)	2015.11.19
검색 도우미 : Windows Frame Related - rfstqowvqm.exe (2015.11.18) (0)	2015.11.18
검색 도우미 : Windows GearExtion - gemegpnvup.exe (2015.11.17) (0)	2015.11.17

Adware.BuzzCon.407952[h], Adware.Kraddare.415632[h], AhnLab V3 365 Clinic, avast!, bccbrqyqwm, bccbrqyqwmain, bccbrqyqws, bitdefender, BuzzCon, BuzzCon for Win32, buzzcon.exe, buzzconm.exe, buzzcons.exe, buzzcon_unin.exe, Donkey CORP., Gen:Variant.Adware.Graftor.175958, Hauri ViRobot, Micro MatchTab for Win32, PUP/Win32.Dropper.R165278, regedit, Win32:Adware-BRI [Adw], Windows 작업 관리자, 가상 환경, 관리자 권한으로 실행, 광고, 디지털 서명, 레지스트리 편집기, 명령 프롬프트, 명령어, 변종, 분석 도구, 삭제, 서비스, 시작 프로그램, 시작프로그램 폴더, 예약 작업

트랙백 1개, 댓글 4개가 달렸습니다

댓글을 달아 주세요

불망왕투덜이
2015.11.29 16:11
벌새님

와이어샤크 사용하는 방법 가르쳐 주세요
그림설명 해 주세요

다 영어라서 하나도 몰라요

부탁 드려요
- 울지않는 벌새
  신고" class="updated" datetime="2015.11.29 16:15 신고">2015.11.29 16:15 신고
  Wireshark 프로그램 자체의 기능이 너무 방대해서 제가 설명을 드리기에는 무리입니다.
  
  https://www.wireshark.org/docs/wsug_html_chunked/
  
  우선은 제작사에서 안내하는 기본 매뉴얼과 각 기능에 대해 하나씩 검색하면서 한글로 설명한 내용을 찾으시는게 좋습니다.
  
  또한 서점에서 관련 사용법에 대한 안내서가 출간되어 있습니다. 죄송합니다.ㅠ
2015.11.29 22:48
비밀댓글입니다
- 울지않는 벌새
  신고" class="updated" datetime="2015.11.30 16:21 신고">2015.11.30 16:21 신고
  오래전에 세팅을 해서 정확하게 기억나지 않지만 아마도 목록형에서 약간 수정한 것으로 보입니다.

'벌새::PUP Info' 카테고리의 다른 글

댓글을 달아 주세요

티스토리툴바