본문 바로가기

벌새::Analysis

검색 도우미 : SalesUp uninstall

반응형

특정 웹사이트 접속 시 ActiveX 방식으로 설치를 유도하여 포털 사이트 메인 화면에 광고 배너를 생성할 수 있는 "SalesUp uninstall" 광고 프로그램에 대해 살펴보도록 하겠습니다.

 

 

참고로 SalesUp 광고 프로그램은 기존의 유사한 기능을 수행하는 wizbiz 광고 프로그램의 변종으로 확인되고 있습니다.

 

 

배포 방식을 살펴보면 특정 인터넷 쇼핑몰 접속 시 ActiveX 설치창을 통해 "DNUTT Inc" 게시자가 포함된 SalesUp 프로그램을 설치하도록 유도할 수 있습니다.

 

이름

 SalesUpControl

게시자

 DNUTT Inc

유형

 ActiveX 컨트롤

CLSID

 {B69D3D38-EBC7-4528-8767-D292271626BF}

폴더 / 파일

 C:\Windows\Downloaded Program Files\SalesUpControl.dll

 

설치가 진행될 경우 SalesUpControl ActiveX 컨트롤 추가를 통해 다음과 같은 SalesUp 광고 프로그램 설치 파일을 다운로드합니다.

 

 

특정 서버로부터 설치 파일(SHA-1 : dfd505cbc423fa9fe8fd7c4867aaee7aec38f486)을 다운로드하여 자동 실행 시 "SalesUp 위젯" 설치 동의창이 생성되지만 이용약관은 확인되지 않습니다.

 

생성 폴더 / 파일 등록 정보

 

C:\Users\%UserName%\AppData\Roaming\salesup
C:\Users\%UserName%\AppData\Roaming\salesup\Mtodt.tmd
C:\Users\%UserName%\AppData\Roaming\salesup\mu.dll
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUp.dat
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUp.exe :: 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\salesup\salesup.ini
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpMon.exe :: 서비스(wzMonService) 등록 파일, 메모리 상주 프로세스
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpMon.ini
C:\Users\%UserName%\AppData\Roaming\salesup\SalesupUninstall.exe :: 프로그램 삭제 파일
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpUpdate.exe
C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpUpdate.log
C:\Users\%UserName%\AppData\Roaming\salesup\version.txt
C:\Windows\Downloaded Program Files\SalesUpControl.dll
C:\Windows\Downloaded Program Files\SalesUpControl.inf

 

 

"DNUTT Inc" 디지털 서명이 포함된 해당 광고 프로그램은 "C:\Users\%UserName%\AppData\Roaming\salesup" 폴더에 파일을 생성합니다.

 

 

"wzMonService (표시 이름 : wzMonService)" 서비스 항목을 등록하여 시스템 시작 시 "C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpMon.exe" 파일(SHA-1 : 51ce26546c822da3b550df2d2faa53f14d862944)을 자동 실행하도록 구성되어 있습니다.

 

이를 통해 업데이트 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\salesup\SalesUpUpdate.exe" 파일(SHA-1 : 503117e4471ca70a49bc0813adc08aa31f9adc9c)을 로딩하여 파일 버전을 체크한 후 광고 기능을 수행하는 "C:\Users\%UserName%\AppData\Roaming\salesup\SalesUp.exe" 파일(SHA-1 : ae0d1ef2533f0cd61e98ad5155747844e4141d0e)을 메모리에 상주시킵니다.

 

 

SalesUp 광고 프로그램이 설치된 환경에서는 포털 사이트 메인 페이지 접속 시 사이드바 영역에 "Sales up" 광고 배너가 생성될 수 있으며, 해당 광고 배너는 오직 ActiveX 배포 사이트 홍보 목적으로만 표시됩니다.

 

SalesUp 광고 프로그램 제거 방법

 

(a) 명령 프롬프트(관리자)를 실행하여 [sc stop "wzMonService"] 명령어를 입력 및 실행하여 메모리에 상주하는 SalesUpMon.exe 서비스 프로세스를 자동 종료하시기 바랍니다.

 

(b) 작업 관리자를 실행하여 메모리에 상주하는 SalesUp.exe 프로세스를 찾아 종료하시기 바랍니다.

 

 

(c) 실행 중인 Internet Explorer 웹 브라우저를 종료한 상태에서 제어판의 프로그램 및 기능 또는 체크잇(CheckIt : www.checkitinfo.com) 프로그램에 등록된 "SalesUp uninstall" 프로그램을 찾아 제거하시기 바라며, 프로그램 제거 후에는 "C:\Users\%UserName%\AppData\Roaming\salesup" 폴더를 직접 삭제하시기 바랍니다.

 

(d) 프로그램 제거 후에는 삭제되지 않은 wzMonService 서비스 삭제를 위해 명령 프롬프트(관리자)를 실행하여 [sc delete "wzMonService"] 명령어를 입력 및 실행하시기 바랍니다.

 

생성 레지스트리 등록 정보

 

HKEY_CURRENT_USER\Software\wizbiz
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{4CEF2118-3886-4A15-81DB-077C9DC6B547}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\SalesUpControl.DLL
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B69D3D38-EBC7-4528-8767-D292271626BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{49C5BC2C-444D-423A-ADAB-CACF2A8B9968}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{984D1315-EAFD-4176-BB1E-D75977EDC07B}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SalesUpControl.Launcher
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SalesUpControl.Launcher.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{96096F87-7C32-4CA9-AD14-DA74AAD9CC60}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{B69D3D38-EBC7-4528-8767-D292271626BF}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\C:/Windows/Downloaded Program Files/SalesUpControl.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
 - C:\Windows\Downloaded Program Files\SalesUpControl.dll = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\salesup
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wzMonService

 

 

SalesUp 광고 프로그램은 비록 사용자 동의 과정을 거쳐 설치가 이루어지지만 포털 사이트 메인에 광고 배너를 노출하여 사용자에게 혼동을 유발할 수 있으므로 설치 여부를 현명하게 판단하시기 바랍니다.

 

728x90
반응형