본문 바로가기

Analysis/유포 프로그램

Adware/Rogue - Windows-WebProtect (유해사이트차단) / Trojan.Win32.SecondThought.bi

삭제순서는 댓글란 참조 하십시오

< 관련 정보 >


1> Adware/Rogue - coolcode(쿨코드) 와 동반 설치되는 Adware 2종
2> 유포되고 있는 Adware/Rogue - vaccine7
3> 안티바이러스제품이 진단하였다고 무조건 삭제해야 하는가?
4> Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)

입력일 : 2007.11.22

Windows-WebProtect <유해사이트 차단툴> 는 인터넷 상이 악성유포되고 있는 일부  악덕보안회사 제품 에서 사용자 동의 없이 설치되는  경향이 있습니다.

또한 최초 설치 때와 설치후 생성하는 파일도 조금 달라짐.. 삭제를 막기 위한 버전업으로 보이지만.. 일부 보안업체에 신고해서 치료가 반영되었는데 이번에 다시 설치해보니. 일부 설치정보가 변경되어 있군요.

또한

C:\WINDOWS\Downloaded Program Files\sw  폴더를 생성하고
ProtHK.dll / ProtMng.exe / wpupd.exe  를 생성하며. 사용자가 볼수 없도록 처리되 있다.

생성 폴더 명은 임의로 변경될 수도 있음을 밝힙니다.

사용자 삽입 이미지

이 부분은
시작 - 실행 - CMD 를 입력후
해당 폴더를 이동한후 찾아
삭제 할 수 있다.



 cd C:\WINDOWS\Downloaded Program Files 입력후 엔터를 치면 해당 폴더로 이동됨.
여기서 dir/p 입력후 엔터를 치게되면.  목록을 페이지단위로 끊어서 보여주게되며,
숨겨진 것을 찾을 수 있다. < cd : 도스프롬프트 디렉토리 이동 명령어 >

사용자 삽입 이미지


확인된
C:\WINDOWS\Downloaded Program Files\sw 폴더
사용자 삽입 이미지

cd sw  입력후 엔터 dir 를 입력후 엔터를 치게되면 아래 숨겨진 목록이 들어난다.
나타난 목록을 del 명령어를 통해 삭제 할 수 있다.

사용자 삽입 이미지
<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.

그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23

애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24

사용중이라며, 삭제가 되지 않을 경우 한번 이용해보자 :
HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103


<공통된 부분 :  설치정보>

시작프로그램 에 아래 항목을 등록

RunOnce: [AA] C:\WINDOWS\system32\ProtUtil.exe  -upd
[IHUK] C:\Program Files\webprotect\IHUpd.exe -update
[WebProtect] C:\WINDOWS\system32\ProtMng.exe
[mscandui] C:\WINDOWS\ime\mscandui.exe   < 다운로더 또는 설치자 >
[System32] C:\WINDOWS\system32\System32.exe < 다운로더 또는 설치자 >

다운로더 또는 설치자는 유포시점에 따라 상이 할 수 있습니다.

제어판 - 추가삭제 에서 아래 명칭으로 확인 가능

Windows-WebProtect

--> 다른버전 : Windows-site security (KS82381) / 유해사이트차단
--> 제작사 사이트 : www.okinternet.co.kr
--> 관련정보 : Adware/Rogue - Windows-site security (KS82381) (유해사이트차단)

삭제를 하려고 하면 .  암호를 요구하며  암호를 지정하지 않았다면 초기값은 1234를
입력하면 삭제된다. 간혹 오류가 나며 삭제가 안되는데 .. 이 경우 수동삭제 또는
치료가능한 보안제품으로 치료를 시도해야 한다.

<삽입되는 레지스터리 제거용 레지파일><XP SP2 기준으로 작성됨>

- Windows-WebProtect 생성 레지에 추가되는 일부 목록 제거용

- 관련파일은 아래정보 참고하여 수동으로 삭제

< 컴에 설치될 경우 최초 생성되는 설치정보 ><2007.11.22>


생성하는 레지 값

HKEY_CURRENT_USER\Software\IHUK 
 GMT REG_SZ 1195669397  
 Serial REG_SZ 119566939288
 SLimit REG_DWORD 0x00000001 (1)  

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
 C:\Documents and Settings\j\Templates\IHUpd.exe REG_SZ IHuk
 C:\Program Files\webprotect\IHuk.exe REG_SZ IHUK 
 C:\Program Files\webprotect\sitelimit.exe REG_SZ SiteLimit 

HKEY_CURRENT_USER\Software\slexe
 GMT REG_SZ 1195669384  
 Serial REG_SZ 119566937903  
 SLimit REG_DWORD 0x00000001 (1)  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
 IHUK REG_SZ C:\Program Files\webprotect\IHUpd.exe -update
 WebProtect REG_SZ C:\WINDOWS\system32\ProtMng.exe  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce       AA REG_SZ C:\WINDOWS\system32\ProtUtil.exe -upd 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows-WebProtect  
 DisplayName REG_SZ Windows-WebProtect
 UninstallString REG_SZ C:\WINDOWS\system32\wpuninstall.exe  

HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\IHUK
 GMT REG_SZ 1195669397 
 Serial REG_SZ 119566939288
 SLimit REG_DWORD 0x00000001 (1) 

HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\slexe
 GMT REG_SZ 1195669384 add 
 Serial REG_SZ 119566937903 add 
 SLimit REG_DWORD 0x00000001 (1)

생성하는 폴더 값

c:\Documents and Settings\계정\Templates

IHUpd.exe 2007-11-22 03:23.17 159,232
c:\Documents and Settings\계정\시작 메뉴\프로그램\유해사이트차단

유해사이트차단.lnk 2007-11-22 03:23.05 459
c:\Program Files\webprotect

IEHK.dll 2007-11-22 03:23.22 61,440

IHUK.cfg 2007-11-22 03:23.23 16

IHuk.exe 2007-11-22 03:23.19 142,848

IHUpd.exe 2007-11-22 03:23.23 158,720

sitelimit.cfg 2007-11-22 03:23.16 296

sitelimit.exe 2007-11-22 03:23.13 218,112

wpupd.exe 2007-11-22 03:23.15 142,848
c:\WINDOWS\system32

ProtHK.dl_ 2007-11-22 03:23.15 53,248

ProtMng.ex_ 2007-11-22 03:23.15 258,048

ProtUtil.exe 2007-11-22 03:23.16 258,048

SiteDB.dll 2007-11-22 03:23.12 2,995,712

SiteDB_SW.dll 2007-11-22 03:23.13 44,544

SiteProt.dll 2007-11-22 03:23.13 49,152

wpuninstall.exe 2007-11-22 03:23.14 151,552


< 재부팅후 설치정보 ><2007.11.22>


생성하는 레지 값

HKEY_CURRENT_USER\Software\ISECU

Limit Popup REG_SZ 5

Limit Time REG_SZ 0

Popup REG_SZ 0

Search Date REG_SZ 0

Search Popup Date REG_SZ 0

Serial REG_SZ 119567014262

Site Date REG_SZ 20071122

Site Date2 REG_SZ 20071122

SLimit REG_DWORD 0x00000001 (1)

HKEY_USERS\S-1-5-21-448539723-1482476501-682003330
-1003\Software\ISECU

Limit Popup REG_SZ 5

Limit Time REG_SZ 0

Popup REG_SZ 0

Search Date REG_SZ 0

Search Popup Date REG_SZ 0

Serial REG_SZ 119567014262

Site Date REG_SZ 20071122

Site Date2 REG_SZ 20071122

SLimit REG_DWORD 0x00000001 (1)


생성하는 폴더 값

c:\

pmng.dat 2007-11-22 03:35.46 3
c:\Documents and Settings\계정\Templates

mscandui.exe 2007-11-22 03:36.05 217,159
c:\Program Files\webprotect

sitelimit.cfg 2007-11-22 03:36.05 296
c:\Program Files\WindowsSecuritySiteService

ISecu.cfg 2007-11-22 03:36.03 16

ISecu.exe 2007-11-22 03:35.47 150,528

ISHK.dll 2007-11-22 03:35.48 65,536

ISUpd.exe 2007-11-22 03:35.46 158,208
c:\WINDOWS\Downloaded Program Files\SW

ProtHK.dll 2007-11-22 03:23.15 53,248

ProtMng.exe 2007-11-22 03:23.15 258,048

wpupd.exe 2007-11-22 03:23.15 142,848
c:\WINDOWS\ime

mscandui.exe 2007-11-22 03:36.05 217,159
c:\WINDOWS\system32

ProtHK.dll 2007-11-22 03:23.15 53,248

ProtMng.exe 2007-11-22 03:23.15 258,048

System32.exe 2007-11-22 03:36.09 114,176


<진단상황><2007.11.18>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

ISHK.dll  Win-AppCare/Agent.61440.D (V3)
wpupd.exe  Win-Trojan/Agent.142848.O (V3) / Win-Downloader/OkInternet.142848
mscandui.exe  Win-Downloader/OkInternet.217159
ProtHK.dll   Win-Adware/WebProtect.53248.B
System32.exe  Win-Trojan/Downloader.114176 (V3) / Win-Downloader/Xema.114176
Win-Downloader/WebProtect.158720
Win-Spyware/Slimit.218112

2> 네이버 툴바 / 카스퍼스키 제품 ( kaspersky )

Adware/SiteLimit
Adware/WebProtect
wpupd.exe / wpuninstall.exe   Trojan-Downloader.Win32.Agent.det  (KAV)
mscandui.exe   Trojan-Downloader.Win32.Agent.eyp  (KAV)
ProtUtil.exe   Trojan.Win32.Agent.cqs  (KAV)
SiteProt.dll   not-a-virus:AdWare.Win32.Agent.uo  (KAV)
ISHK.dll  not-a-virus:AdWare.Win32.Agent.og  (KAV)
ISUpd.exe  Trojan-Downloader.Win32.Agent.evn  (KAV)
system32.exe  Trojan.Win32.SecondThought.bi  (KAV)

3> 하우리 바이로봇

Adware.Slimit
Adware.WebProtect
system32.exe  Trojan.Win32.Downloader.114176
wpuninstall.exe   Spyware.Agent.Do.151552

4> 바이러스체이서

mscandui.exe   Trojan.Downloader.25804
system32.exe  TrojanTrojan.Downloader.17061
wpupd.exe TrojanTrojan.Downloader.35203
 
5> 알약 v1.0 beta

mscandui.exe  V.DWN.mscandui
system32.exe  V.TRJ.Agent-OAB