유포되고 있는 Adware - SecureFavorites.ucFavorites
( funnykorea ) - 실시간TV보기
그레이웨어 무엇인지 아세여?
보안제품은 보조수단이지 맹신은 금물..;;
<진단상황><2007.11.01>
---> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Downloader/SecureFavorites.28672
Win-Adware/SecureFavorites.28672
<유포 증거><2007.10.29>
특정글에 의해 유도되어 유포페이지에 방문되면, 화면 우측하단에 작은팝업을
띠우고 설치유도.. 작은 팝업을 확대해보면 동영상을 보기위해서 Active X 설치하라는 메시지를 제공한다..
설치 URL : {8696BE40-7507-4DE8-8165-C755B6DE7798}
(SecureFavorites.ucFavorites)
1> hxxp://myhome.hanafos.com/~xxxxx/ad/secureFavorites.cab
2> hxxp://www.funnykorea.com/xxx/secureFavorites.cab
참고링크 : 차단킬빗(Ad-free) http://fantasy-actuality.tistory.com/121
- 다수의 즐겨찾기 목록을 생성하는 것과 시작페이지 변경이 목적.
- 광고를 목적으로 제작된 애드웨어 / 쇼핑몰 / 등 이 즐겨찾기에 생성된다
- SecureFavorites 를 설치되면,
C:\WINDOWS\system32 에 secureFavorites.exe / webbrowser.reg
를 생성하고 익스플로어 즐겨찾기에 아래항목을 생성한다.
webbrowser.reg
--> 익스플로어 옵션 변경용 레지파일
invalid-filesecureFavorites.exe
--> VB6KO.dll / 등 시스템 런타임 파일 일부가 존재하지 않을 경우
동작하지 않는다. 그래서 그런지.. 애드웨어가 설치될 때 MS 패치를 설치한다..
<에러창> The language DLL 'vb6ko.dll could not be found.
- 포털 / 통신 / 채팅 / 생활 / 신문 / 등 의 항목을 생성하고 다수 사이트 등록
- 바탕화면에 실시간TV보기 생성
- 익스폴러로 시작페이지를 funnykorea ( 퍼니코리아 ) 로 변경
<설치폴더>
| c:\Documents and Settings\j\Application Data\Microsoft\Internet Explorer\Quick Launch | |
| 실시간TV보기.url | |
| c:\Documents and Settings\계정명\Favorites | |
| ★ 퍼니코리아 - 편리한인터넷TV -★★★-무료 개인북마크 무료음악 게임 영화 편리한 즐겨찾기.url | |
| 당신이 찾는 모든 스타일, 옥션.url | |
| 새로운 세상을 여는 문, G마켓.url | |
| c:\Documents and Settings\계정명\Favorites\게임 | |
| c:\Documents and Settings\계정명\Favorites\공공 | |
| c:\Documents and Settings\계정명\Favorites\금융 | |
| c:\Documents and Settings\계정명\Favorites\방송 | |
| c:\Documents and Settings\계정명\Favorites\생활 | |
| c:\Documents and Settings\계정명\Favorites\쇼핑 | |
| c:\Documents and Settings\계정명\Favorites\신문 | |
| c:\Documents and Settings\계정명\Favorites\연결 | |
| CJ홈쇼핑.url | |
| GS홈쇼핑.url | |
| G마켓.url | |
| Hmall.url | |
| 네이버.url | |
| 네이트.url | |
| 다음.url | |
| 싸이.url | |
| 야후.url | |
| 엠파스.url | |
| 옥션.url | |
| 인터파크.url | |
| c:\Documents and Settings\계정명\Favorites\연결\쇼핑 | |
| c:\Documents and Settings\계정명\Favorites\연결\포털 | |
| c:\Documents and Settings\계정명\Favorites\채팅 | |
| c:\Documents and Settings\계정명\Favorites\통신 | |
| c:\Documents and Settings\계정명\Favorites\포털 | |
| c:\Documents and Settings\계정명\바탕 화면 | |
| 실시간TV보기.url | |
| c:\WINDOWS\Downloaded Program Files | |
| SecureFavorites.ucFavorites | |
| c:\WINDOWS\system32 | |
| favicon.ico | |
| secureFavorites.exe | |
| secureFavorites.inf | |
| webbrowser.reg | |
<삭제방법>
1>webbrowser.reg 으로 인해 입력된 (변경된) 브라우져 옵션 삭제.
이 것은 첨부파일로 첨부된 파일을 더블클릭함으로써 삭제.
<참고 사항>
첨부된 레지스터리 파일로 옵션 변경하면 툴바 활성화 와 연결 목록등이 살아짐..
2> c:\WINDOWS\Downloaded Program Files\SecureFavorites.ucFavorites
제거 한다.
3> 위에 제시된 즐겨찾기 목록 삭제
4> 위에 제시된 c:\WINDOWS\system32 에 위치하는 파일 삭제
툴바 / 연결 목록 적용사항이 초기화 되는데 사용하는 것을 직접 수정하시면 됩니다.
툴바 다시 활성화
타사브라우져 확장명 사용이 지정되어야 툴바가 사용가능함으로 체크
--> 역으로 툴바를 비활성화 할 때는 해제.. 사용중이라며 툴바가 제거가 되지 않을 경우
이 옵션을 해제후 삭제를 시도하기도 한다.
'Analysis > 유포 프로그램' 카테고리의 다른 글
| 유포되고 있는 Adware - tosync for Windows Sys <kai for Windows Sys 의 다른버전> (0) | 2007.10.31 |
|---|---|
| Adware - Shopcenter-pulun < 샵센터 / 하우리에서 ADware.ShopCenter 진단> (0) | 2007.10.30 |
| 유포되고 있는 Adware - UCCCPLAY / UCCC / Trojan-Downloader.Win32.Delf.cdv (0) | 2007.10.28 |
| 유포되고 있는 Adware/Rogue - vaccine-program / Spyware.CashPoint.Do (하우리) (0) | 2007.10.28 |
| 유포되고 있는 Adware/Rogue - SafeVaccine (0) | 2007.10.26 |
