애드웨어 정보2015.07.20 03:04

1. 애드웨어명 : BrowserShot



2. 애드웨어 설치 경로 : 애드웨어 다운로더



3. BrowserShot 행위 정보


3-1. 해당 애드웨어는 설치시 아래와 같은 창을 띄우지만 실질적으로 다수의 애드웨어 설치 간에는 백그라운드 상태에서 곧바로 설치가 이루어지는 것으로 확인이 된다.



C:\Program Files\Browshot

C:\Program Files\Browshot\browshot.exe

C:\Program Files\uninstall.exe

C:\Windows\Diskmon.exe

HKEY_CURRENT_USER\Software\BrowserShot

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowserShot

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\DiskmonitorService

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiskmonitorService



3-2. Program Files\Browshot\에 존재하는 browshot.exe는 아래와 같이 별 쓸데 없이 웹 브라우저 프로세스 종료 기능을 수행하지만 Diskmon.exe는 C&C로 현재 설치된 BrowserShot 버전, 애플리케이션 타입, 제휴 아이디, 시리얼넘버(설치일자+암호화값), 맥 어드레스 값을 전송한다.


<Browshot.exe 실행 결과>



appver=(Browshot 버전>&&apptype=<애플리케이션 타입>&&aid=<제휴 아이디>&&serial=<설치일자+시간+암호화값>&&macaddr=<맥 어드레스>


3-3. 프로그램 추가/제거를 통한 BrowserShot 삭제 시 C:\Program Files\에 존재하는 Browshot 폴더만 삭제한다.


3-4. Diskmon.exe는 별도로 외부 C&C와 연결이 이루어져 추가적인 업데이트 파일을 다운로드 및 별도의 암호화값을 받으며 업데이트 값을 확인하는 것으로 확인되며 다운로드된 browsup.exe는 마찬가지로 외부 C&C에서 추가적인 파일 다운로드를 시도하는 것으로 확인이 된다.


C:\Program Files\BrowShotUpdate\browsup.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

browsup = "C:\Program Files\BrowShotUpdate\browsup.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

browsup = "C:\Program Files\BrowShotUpdate\browsup.exe"



4. BrowserShot 삭제 및 제거 정보 : 아래의 경로에 존재하는 파일 및 레지스트리를 모두 삭제 한다.


C:\Program Files\Browshot\

C:\Program Files\BrowShotUpdate\

C:\Program Files\uninstall.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

browsup = "C:\Program Files\BrowShotUpdate\browsup.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

browsup = "C:\Program Files\BrowShotUpdate\browsup.exe"

HKEY_CURRENT_USER\Software\BrowserShot

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BrowserShot

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\DiskmonitorService

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiskmonitorService

Posted by Ec0nomist

댓글을 달아 주세요