입력일 : 2007.12.05
Adware/Rogue - ViKill < 동의없이 설치되며, Virut 감염까지 유포>
- 해당 허위제품을 유포하는 모 사이트에서 설치될 당시 ...
Active X 가 등록되는 단계까지는 문제가 없었으나, ViKill 를 설치하는 단계에서 Virut 감염된 파일을 다운로드하며, 컴에 에러창을 발생시킨다..
바로 컴이 재부팅 ... 되어버리는 황당함을 당하고 말았다.. 그후 정상부팅되지 않아
안전모드로 부팅해야만 했으며, Virut 로 감염된 파일들을 치료한 후에야 허위제품도 삭제할 수 있었다.
- 참고 사항 -
안철수 연구소 제공하는 전용백신 : Win32/Virut
--> 관련 게시물 : http://fantasy-actuality.tistory.com/1
해당 ViKill 은 Active X에 의해 생성되는 vkUpdater.exe에 다운로드 된후 설치되며,
iebuild.exe / msgrsvcs.exe / tovmi.exe / hlgyy.exe 을 생성하고 시스템에 등록한다.
이중 hlgyy.exe 는 시작프로그램에 등록되며, 재부팅을 하게 되면, 자신은 삭제하고,
다른 특정파일을 시작프로그램에 등록한다..
< 상기 언급된 파일에 대해선 맨하단 바이러스토탈 참조>
또한 hlgyy.exe / tovmi.exe 는 애드웨어 설치자 또는 다운로더로 보인다.
--> 파일을 쏙쏙 뜯어보면, 내부엔 최근 악성유포되는 프로그램들 목록이 다수 입력되어
있는 것을 확인 할 수 있었다..
<참조그림>
경고창과 함께
바탕화면과 작업표시줄이 제대로 표현되지 않았으며,
바로 컴이 꺼져 버린다..;;
<유포링크><2007.12.05>
여타 악성 유포제품처럼 별도의 동의창은 없고 바로 설치 진행창을 띠우며,
허위보안 - Vikill 만 설치하면 좋겠구만... 나중에 지우기라도 편하게
특정파일을 다운로드하고 시작목록에 등록까지 한다.
그 시작목록에 등록된 파일은 다른 특정파일을 다운로드하고 시작목록에 등록
아주... 삭제를 어렵게 하기 위함인지 ...
<해당프로그램><2007.12.05>
검사를 유도하는 경보창 ...
<결제관련 주의 사항><제작사 내용참조>
- 자동연장결제
- 의무사용기간 3개월
- 해지신청 페이지 : http://vikill.com/html/info4.html#auto_settle
웃긴 것은 약관엔
의무사용기간에 대한 정보를 제공하지 않고 있다.
약관을 읽는 것만으론
의무사용기간이 있는지를 알수 없다.
<약관 내용><개인정보 무단사용이 아닐까 하는 의구심>
수집된 정보는 제휴된 회사와 공동으로 사용한다고 명시하고 있었다. 그러면서 개인정보 보호를 준수한다고 약관에 표시..
그러니까... 해당프로그램 사용하려면 주민번호 / 핸드폰 번호가 필요한데 그정보는 제휴사회 공동으로 사용한단다... 제휴사를 명확히 밝히고 있지 않다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<진단상황><2007.12.05>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Adware/Rogue.ViKill.323584
Win-Adware/Rogue.ViKill.799232
Win32/Virut
2> 네이버툴바
Adware/Vikill
msgrsvcs.exe Trojan-Downloader.Win32.Delf.dcy ( kaspersky )
3> 하우리
Adware.ViKill.R
msgrsvcs.exe Trojan.Win32.Downloader.281600.B
4> 바이러스체이서
msdevf / tovmi.exe Adware.Cashon
hlgyy.exe / restore0036.tmp Adware.Cashon.68
ViKill.ocx Trojan.DownLoader.37568
msgrsvcs.exe BackDoor.Graybird
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
설치 Url : {C2510DE2-B8D2-4D99-A174-80BD7A5EE814}
(ViKillX Control) - hxxp://down.vikill.com/vikill.cab
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> ViKill
시작프로그램에 아래항목 등록
[ViKill] C:\Program Files\ViKill\ViKill.exe Icon
[vkPopUp] C:\Program Files\ViKill\vkPopup.exe
[hlgyy.exe] "C:\\hlgyy.exe" start
[tovmi.exe] "C:\Documents and Settings\j\Application Data\tovmi.exe" 4mjb2
<설치 레지스터리 일부><2007.12.05>
HKEY_CURRENT_USER\Software\clsdemon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ViKill.ViKillX
HKEY_CURRENT_USER\Software\ViKill
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\ViKill
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSGRSVCS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msgrsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MSGRSVCS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msgrsvcs
<설치 폴더 일부><2007.12.05>
<참고정보>
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
File hlgyy.exe received on 12.04.2007
MD5: 2d97637be3997e076edb4cbafbdbde0f
--> http://www.virustotal.com/resultado.html?e75212b4ba54ae2414e9f1d38ab01549
File iebuild.exe received on 12.05.2007
MD5: 52eff21707e2611cae1f95d7efc5fa0f
--> http://www.virustotal.com/resultado.html?9458a20747ae6e36c5a772a9476a7f43
File msdevf received on 12.04.2007
MD5: 3294eafcf33acf2e8bfd3fc296e7e928
--> http://www.virustotal.com/resultado.html?a41b90432702bb56fa94218bd5b8d5dc
File msgrsvcs.exe received on 12.05.2007
MD5: a244b16f93f081200d78a8486524358a
--> http://www.virustotal.com/resultado.html?f03a42e1f7a2e2c35bfbef344c5ee963
File restore0036.tmp received on 12.04.2007
MD5: 2d97637be3997e076edb4cbafbdbde0f
--> http://www.virustotal.com/resultado.html?e297b8e4b5fd1895bb15af2152472792
File tovmi.exe received on 12.05.2007
MD5: 3294eafcf33acf2e8bfd3fc296e7e928
--> http://www.virustotal.com/resultado.html?1d9e91d5d646b8a34616c0fef40c43aa
Adware/Rogue - ViKill < 동의없이 설치되며, Virut 감염까지 유포>
- 해당 허위제품을 유포하는 모 사이트에서 설치될 당시 ...
Active X 가 등록되는 단계까지는 문제가 없었으나, ViKill 를 설치하는 단계에서 Virut 감염된 파일을 다운로드하며, 컴에 에러창을 발생시킨다..
바로 컴이 재부팅 ... 되어버리는 황당함을 당하고 말았다.. 그후 정상부팅되지 않아
안전모드로 부팅해야만 했으며, Virut 로 감염된 파일들을 치료한 후에야 허위제품도 삭제할 수 있었다.
- 참고 사항 -
안철수 연구소 제공하는 전용백신 : Win32/Virut
--> 관련 게시물 : http://fantasy-actuality.tistory.com/1
해당 ViKill 은 Active X에 의해 생성되는 vkUpdater.exe에 다운로드 된후 설치되며,
iebuild.exe / msgrsvcs.exe / tovmi.exe / hlgyy.exe 을 생성하고 시스템에 등록한다.
이중 hlgyy.exe 는 시작프로그램에 등록되며, 재부팅을 하게 되면, 자신은 삭제하고,
다른 특정파일을 시작프로그램에 등록한다..
< 상기 언급된 파일에 대해선 맨하단 바이러스토탈 참조>
또한 hlgyy.exe / tovmi.exe 는 애드웨어 설치자 또는 다운로더로 보인다.
--> 파일을 쏙쏙 뜯어보면, 내부엔 최근 악성유포되는 프로그램들 목록이 다수 입력되어
있는 것을 확인 할 수 있었다..
<참조그림>
경고창과 함께
바탕화면과 작업표시줄이 제대로 표현되지 않았으며,
바로 컴이 꺼져 버린다..;;
<유포링크><2007.12.05>
여타 악성 유포제품처럼 별도의 동의창은 없고 바로 설치 진행창을 띠우며,
허위보안 - Vikill 만 설치하면 좋겠구만... 나중에 지우기라도 편하게
특정파일을 다운로드하고 시작목록에 등록까지 한다.
그 시작목록에 등록된 파일은 다른 특정파일을 다운로드하고 시작목록에 등록
아주... 삭제를 어렵게 하기 위함인지 ...
<해당프로그램><2007.12.05>
검사를 유도하는 경보창 ...
<결제관련 주의 사항><제작사 내용참조>
- 자동연장결제
- 의무사용기간 3개월
- 해지신청 페이지 : http://vikill.com/html/info4.html#auto_settle
웃긴 것은 약관엔
의무사용기간에 대한 정보를 제공하지 않고 있다.
약관을 읽는 것만으론
의무사용기간이 있는지를 알수 없다.
<약관 내용><개인정보 무단사용이 아닐까 하는 의구심>
수집된 정보는 제휴된 회사와 공동으로 사용한다고 명시하고 있었다. 그러면서 개인정보 보호를 준수한다고 약관에 표시..
그러니까... 해당프로그램 사용하려면 주민번호 / 핸드폰 번호가 필요한데 그정보는 제휴사회 공동으로 사용한단다... 제휴사를 명확히 밝히고 있지 않다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<진단상황><2007.12.05>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Adware/Rogue.ViKill.323584
Win-Adware/Rogue.ViKill.799232
Win32/Virut
2> 네이버툴바
Adware/Vikill
msgrsvcs.exe Trojan-Downloader.Win32.Delf.dcy ( kaspersky )
3> 하우리
Adware.ViKill.R
msgrsvcs.exe Trojan.Win32.Downloader.281600.B
4> 바이러스체이서
msdevf / tovmi.exe Adware.Cashon
hlgyy.exe / restore0036.tmp Adware.Cashon.68
ViKill.ocx Trojan.DownLoader.37568
msgrsvcs.exe BackDoor.Graybird
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.12.05>
제작사에서 제공하는 삭제 파일 : http://down.vikill.com/vkDelete.exe설치 Url : {C2510DE2-B8D2-4D99-A174-80BD7A5EE814}
(ViKillX Control) - hxxp://down.vikill.com/vikill.cab
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> ViKill
시작프로그램에 아래항목 등록
[ViKill] C:\Program Files\ViKill\ViKill.exe Icon
[vkPopUp] C:\Program Files\ViKill\vkPopup.exe
[hlgyy.exe] "C:\\hlgyy.exe" start
[tovmi.exe] "C:\Documents and Settings\j\Application Data\tovmi.exe" 4mjb2
<설치 레지스터리 일부><2007.12.05>
HKEY_CURRENT_USER\Software\clsdemon
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\ViKill.ViKillX
HKEY_CURRENT_USER\Software\ViKill
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\ViKill
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSGRSVCS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\msgrsvcs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\
LEGACY_MSGRSVCS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msgrsvcs
<설치 폴더 일부><2007.12.05>
| c:\ | |||
| hlgyy.exe | 2007-12-05 19:17.21 | 147,456 | |
| c:\Documents and Settings\계정\Application Data\Microsoft\Internet Explorer\Quick Launch | |||
| ViKill.lnk | 2007-12-05 19:17.05 | 674 | |
| c:\Documents and Settings\계정\바탕 화면 | |||||||||||||||||||
| ViKill.lnk | 2007-12-05 19:17.04 | 656 | |||||||||||||||||
c:\Documents and Settings\계정\시작 메뉴\프로그램\ViKill | |||||||||||||||||||
| ViKill 제거.lnk | 2007-12-05 19:17.05 | 652 | |||||||||||||||||
| ViKill.lnk | 2007-12-05 19:17.05 | 668 | |||||||||||||||||
| c:\Program Files | |||||||||||||||||||
| restore0036.tmp | 2007-12-05 19:17.21 | 147,456 | |||||||||||||||||
| c:\Program Files\ViKill | |||||||||||||||||||
| ViKill.dll | 2007-12-05 19:16.57 | 4,334,854 | |||||||||||||||||
| ViKill.exe | 2007-12-05 19:16.44 | 799,232 | |||||||||||||||||
| ViKill.ini | 2007-12-05 19:23.17 | 23 | |||||||||||||||||
| ViKill.log | 2007-12-05 19:23.17 | 92 | |||||||||||||||||
| vkPopup.exe | 2007-12-05 19:16.58 | 325,120 | |||||||||||||||||
| vkUpdate.exe | 2007-12-05 19:16.40 | 368,128 | |||||||||||||||||
| c:\WINDOWS\Downloaded Program Files | |||||||||||||||||||
| ViKillX Control | 2007-11-07 05:26.48 | ||||||||||||||||||
| c:\WINDOWS\system32 | |||||||||||||||||||
| iebuild.exe | 2007-12-05 19:17.03 | 125,420 | |||||||||||||||||
| msgrsvcs.exe | 2007-12-05 19:17.02 | 281,600 | |||||||||||||||||
| vkDelete.exe | 2007-12-05 19:16.59 | 323,584 | |||||||||||||||||
<참고정보>
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
File hlgyy.exe received on 12.04.2007
MD5: 2d97637be3997e076edb4cbafbdbde0f
--> http://www.virustotal.com/resultado.html?e75212b4ba54ae2414e9f1d38ab01549
File iebuild.exe received on 12.05.2007
MD5: 52eff21707e2611cae1f95d7efc5fa0f
--> http://www.virustotal.com/resultado.html?9458a20747ae6e36c5a772a9476a7f43
File msdevf received on 12.04.2007
MD5: 3294eafcf33acf2e8bfd3fc296e7e928
--> http://www.virustotal.com/resultado.html?a41b90432702bb56fa94218bd5b8d5dc
File msgrsvcs.exe received on 12.05.2007
MD5: a244b16f93f081200d78a8486524358a
--> http://www.virustotal.com/resultado.html?f03a42e1f7a2e2c35bfbef344c5ee963
File restore0036.tmp received on 12.04.2007
MD5: 2d97637be3997e076edb4cbafbdbde0f
--> http://www.virustotal.com/resultado.html?e297b8e4b5fd1895bb15af2152472792
File tovmi.exe received on 12.05.2007
MD5: 3294eafcf33acf2e8bfd3fc296e7e928
--> http://www.virustotal.com/resultado.html?1d9e91d5d646b8a34616c0fef40c43aa
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회> (4) | 2007.12.11 |
|---|---|
| Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 > (0) | 2007.12.10 |
| Win-Trojan/Downloader.210944.B 로 진단되는 jdnder.exe (1) | 2007.12.04 |
| Adware - savemoneyshop <별칭 :세이브머니샵> (5) | 2007.12.02 |
| Adware - Internet Explorer storia Guide <다른이름 : Internet Explorer Guide> (1) | 2007.11.30 |
