<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<진단상황><2007.10.26>
---> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
+ ucccplaySetup.exe >>> Win-Downloader/CashBackNara.281088
+ tmp_12aq_2.exe >>> Win-Downloader/Rogue.VacProg.49152
+ wrkifs.exe >>> Win-Downloader/Xema.17920.BG
+ Win-Adware/UcccPlay.406528
+ Win-Downloader/UcccPlay.63488
2> 네이버 툴바
+ Adware/UcccPlay
3> 하우리 바이로봇
+ ADware.UcccPlay.Do
+ wrkifs.exe >>> Trojan.Win32.Downloader.17920.Z
4> 카스퍼스키 / kaspersky
+ ucccplaySetup.exe ==> Trojan-Downloader.Win32.Delf.cdv
5>Nod32
+ ucccplaySetup.exe ==> probably a variant of Win32/TrojanDownloader.Delf trojan
+ tmp_12aq_2.exe ==> probably unknown NewHeur_PE virus
+ MyComGoucc2.cab ==> probably unknown NewHeur_PE virus
==> 휴리스틱진단명으로 정확한 진단명은 아니며, 의심파일이라는 통보 정도라고
보시면 됩니다.
==> 보안제품 사용자라면 최소한 알아야 할 진단명 설명
<유포 증거><2007.10.26>
*** 관련정보 ***
Trojan.Win32.downloader.281088 트로이목마 어떻게 없에는 방법좀
2007-09-19/10-08 동영상페이지를 보여주고 설치유도하는 사례
<UCCC 홈페이지>
--> 메인페이지 방문하자마자 설치팝업이 뜨게 된다.
단, XP 보안팝업에 의해 표시되지만, 별도의 동의 창이 없으므로 무단 설치될 수 있다.
<설치정보><2007.10.26>
UCCCPLAY
사용자 동의 없이 사용자컴에 설치한다.
>>> UCC 동영상 플레이어이지만 웃긴 것은 홈페이지 방문시
통합관리 프로그램이라는 Active X 팝업을 통해 설치를 유도하며, 다수 의 번들프로그램을 설치한다.
2007년 10월 26일 확인당시 <유포시점에 따라 램덤하게 설치되는 목록은 변경된다.>
아래 목록을 설치하였다.
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
1> Windows XP Security Folder System < MyComGoPlus / 숨김폴더 >
--> http://fantasy-actuality.tistory.com/135
2> PatchUpLab < 패치업이라는 이비즈네트웍스 에서 배포하는 보안패치프로그램 >
--> http://fantasy-actuality.tistory.com/138
3> Win-Spyware/Kilomang.19456 로 진단되는 애드웨어
--> http://fantasy-actuality.tistory.com/139
4> vaccine-program
--> http://fantasy-actuality.tistory.com/139
시작프로그램에 아래항목을 등록한다.
[UCCCPLAY] "C:\Program Files\UCCCPLAY\UCCCPLAY.exe"
<설치폴더>
| c:\Documents and Settings\계정\Local Settings\Temp | |||
| MyComGoucc2.cab | 2007-10-26 22:23.49 | 2,720,865 | |
| tmp_12aq_1.exe | 2007-10-26 22:23.43 | 362,496 | |
| tmp_12aq_2.exe | 2007-10-26 22:23.44 | 49,152 | |
| ucccplaySetup.exe | 2007-10-26 22:23.43 | 281,088 | |
| VaccinePD.exe | 2007-10-26 22:23.53 | 39,936 | |
| mycomgo_uccc2.exe | 2007-10-26 22:23.43 | 362,496 | |
| launchucccplay.cab | 2007-10-26 22:22.49 | 65,463 | |
| PatchUp_ucccp1_s_1024.exe | 2007-10-26 22:23.48 | 4,013,776 | |
| c:\Documents and Settings\계정\시작 메뉴\프로그램\Uccc Player | |||
| Uccc Player.lnk | 2007-10-26 22:23.50 | 1,518 | |
| uninstall.lnk | 2007-10-26 22:23.50 | 1,515 | |
| c:\Program Files\UCCCPLAY | |||
| UCCCPLAY.exe | 2007-10-26 22:23.45 | 406,528 | |
| uninstall.exe | 2007-10-26 22:23.49 | 232,960 | |
| c:\WINDOWS\Downloaded Program Files | |||
| launchucccplay | 2007-09-14 08:24.06 | ||
| c:\WINDOWS\system32 | |||
| wrkifs.exe | 2007-10-26 22:25.14 | 17,920 | |
| c:\WINDOWS\Temp | |||
| jolonga.exe | 2007-10-26 22:25.12 | 45,056 | |
<간략 정보><2007.10.26>
설치 URL : {CE109CEF-E299-4DAF-9FCB-9C030A32C546}
(launchucccplay) - http://up.uccc.co.kr/ucccplay/cab2/launchucccplay.cab
UCCCPLAY 가 설치되면 아래 파일을 생성하고 사용자 동의 없이
애드웨어를 설치한다.
tmp_12aq_1.exe < Windows XP Security Folder System 설치자>
tmp_12aq_2.exe < vaccine-program 설치자 >
mycomgo_uccc2.exe < Windows XP Security Folder System 설치자>
PatchUp_ucccp1_s_1024.exe
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Shopcenter-pulun < 샵센터 / 하우리에서 ADware.ShopCenter 진단> (0) | 2007.10.30 |
|---|---|
| 유포되고 있는 Adware - SecureFavorites.ucFavorites ( funnykorea ) - 실시간TV보기 (0) | 2007.10.29 |
| 유포되고 있는 Adware/Rogue - vaccine-program / Spyware.CashPoint.Do (하우리) (0) | 2007.10.28 |
| 유포되고 있는 Adware/Rogue - SafeVaccine (0) | 2007.10.26 |
| 유포되고 있는 Adware/Rogue - searchspy / SearchPop / SearchURL (0) | 2007.10.25 |
