애드웨어 정보2015.09.20 12:09

1. 애드웨어명 : BSCheckIt2



2. 설치 경로 : 특정 애드웨어 다운로더



3. 행위 정보


3-1. 설치시 아래와 같이 'GAc CheckUP Program'이라는 설치창이 나타나면서, 설치를 유도합니다. 설치 완료 후 Browser Shot Setup Program - Agreement 창이 나타납니다.






3-2. 설치가 완료될 경우 아래의 경로에 파일 및 레지스트리를 생성합니다.


C:\Program Files\GAC

C:\Program Files\GAC\BrowserShot

C:\Program Files\GAC\CheckIt

C:\Program Files\GAC\CheckIt\CheckIt2.exe

C:\Program Files\GAC\CheckIt\CheckIt2.ver

C:\Program Files\GAC\CheckIt\delete.exe


HKEY_CURRENT_USER\Software\BSCheckIt2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BSCheckIt2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

CheckIt2 = "C:\Program Files\GAC\CheckIt\CheckIt2.exe"



3-3. 해당 프로그램의 경우 삭제 파일을 제외하면 CheckIt2.exe에 의해 실행이 되도록 이루어져 있고, 해당 파일은 C&C와 연결하면서 언인스톨 파일 다운로드 및 서버 내에 설치 카운트 추가를 합니다. 그리고 현재 명확히는 확인되지 않았지만 추가적인 파일도 목적에 따라 다운받을 것으로 확인이 됩니다.



4. BSCheckIt2 변종 및 추가 정보


해당 애드웨어의 경우 최초 Browshot라는 애드웨어명으로 다수 유포하였으며, 벌새님의 블로그 정보에 의하면 최근에는 아래와 같은 프로그램명으로 대거 유포가 이루어진 것으로 확인이 됩니다.


제휴(스폰서) 프로그램 : CheckIP


휴(스폰서) 프로그램 : BSCheckIt


제휴(스폰서) 프로그램 : TredSyncmon - Tred3


제휴(스폰서) 프로그램 : TredSyncmon - Tred


제휴(스폰서) 프로그램 : BrowserShot - BSUpdate



이들은 주로 MPress Packer를 통하여 실행압축을 하는 것으로 보이며, 버전 기록 및 업데이트 간 암호화 값은 아래와 같은 도구를 사용하는 것으로 확인되었습니다. 이를 통해 손쉽게 삭제할 레지스트리, 버전 정보 등을 암호화할 수 있는 것으로 확인되었습니다.




그리고 이들은 최근 아래와 같은 형태로 일부 애드웨어를 설치하려는 시도를 보이고 있습니다. 현재 확인된 바로는 searchlike, topspace2, MatchTab3, NateSearch026 총 4개로 확인이 되고 있고, 그 외 아직 경로가 확인은 되지 않았지만 WindowMix, HomeCare(홈케어), PopClick 도 확인이 되고 있습니다. 아무튼 모두 체크하고 확인을 눌러야 설치되는 구조로 이루어져 있습니다. 



<업데이트 항목 미체크시>


<업데이트 항목 미체크시>



잠재적으로 이들은 지속적으로 다수의 변종을 뿌릴 확률이 높기에 주의가 필요합니다.




5. 삭제 정보 : BSCheckIt2 애드웨어는 프로그램 및 기능에 항목이 있음에도 불구하고 아래와 같이 애플리케이션 오류로 그 이상의 삭제가 되지 않습니다. 따라서 아래의 경로에 존재하는 파일 및 레지스트리를 수동 삭제해주시기 바랍니다.







C:\Program Files\GAC


HKEY_CURRENT_USER\Software\BSCheckIt2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\BSCheckIt2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

CheckIt2 = "C:\Program Files\GAC\CheckIt\CheckIt2.exe"


Posted by Ec0nomist

댓글을 달아 주세요