본문 바로가기

Analysis/유포 프로그램

Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 >

입력일 : 2007.12.10.23

Adware/Rogue - pcsave < 제어판 등록명 : pcsave 삭제>

본론으로 들어가기 이전에 보안제품이라면서,  제품에 대한 문의 또는 F/Q (질/답) 란을 이용하기 위해선  주민번호를 입력해야만 접근할 수 있도록 하고 있어. 보안사가 맞는가 의구심마져 는 회사 제품이다 ..

 개인정보 유출시 최근 엄청난 논란이 되었던 주민번호 노출로
I-PIN (가상 주민번호 서비스 ) 까지  제공되는 마당에 .. 이것은 좀 심한 것이 아닌가 하는 생각입니다.

아무래도 인터넷에 유포되어 가입될 때 . 사용자가 직접사이트를 방문하여 가입하기보다
설치시 검출 경고 알림을 보고 결제와 동시 가입되는 방식으로 회원을 모집하는 행태를 취하고 있지 않은 가 하는 의구심마져 드는 회사입니다.


아래 그림을 참고해 보십시오.
-->
위에 언급한 것 이외에도 다른 메뉴 사용시에도 아래와 같은창을 보여줌

사용자 삽입 이미지

<유포정보><2007.12.10>

관련정보 링크 <입력일 : 2007.10.17> :
 
(1)Windows doublepoint 유포정보
 -->
http://fantasy-actuality.tistory.com/113
 (2) Win-Adware/WinDots.94208 로진단되는 다운로더
 
--> http://fantasy-actuality.tistory.com/202

인터넷 서핑중 Windows doublepoint 라는 광고용 애드웨어가 사용자 동의 없이 컴퓨터에 설치되거나 특정 유인글에 의해 방문시 설치유도되어 설치될 경우

dpup.exe 파일을 특정 폴더에 생성하고  시작프로그램에 등록됩니다.

또한 dpup.exe  는 Windows doublepoint을 사용자 컴퓨터에 동의없이 설치하며, C:\WINDOWS\system32 폴더에 imgrs.exe 파일을 다운로드 하고 시작프로그램에
등록합니다.

imgrs.exe 는
아래 파일들을 생성하며, 다수의 애드웨어를 설치한다.

설치되는 애드웨어는

1> Windows doublepoint
--> 관련정보 : http://fantasy-actuality.tistory.com/113

2> Windows KToolbar Toolbar
--> 관련정보 : http://fantasy-actuality.tistory.com/203

3> Windows KyleXY
--> 관련정보 : http://fantasy-actuality.tistory.com/204

4> pcsave 삭제

<해당프로그램><2007.12.10>

- 컴퓨터에 설치되어 동작되는 프로그램 스샷
사용자 삽입 이미지

- 컴퓨터에 설치되자마자 검사후 검출한 항목을 알리며 치료를 통보하는 알림

사용자 삽입 이미지


- 컴퓨터에 설치되었을 당시 특정프로그램을 실행시키려고 하면 뜨던 에러창

사용자 삽입 이미지


<결제관련 주의 사항><제작사 내용참조>

- 자동연장결제
- 의무사용기간 3개월 또는 4개월 < 약관상 두가지 의무기간을 표시하고 있음>
- 결제 약관 페이지 :
http://www.pcsave.co.kr/agreement/agreement.html

일부 약관 내용 :

자동연장결제이용자 : 사용자가 서비스 이용계약을 해지하고자 하는 경우, 결제일로부터 3개월이후에 해지가 가능함을 기본으로한다 (이는 자동연장시 일반1개월 결제금액에 반하여 할인혜택이 주어지므로, 형평성을 고려하고 악용을 방지하고자한 최대한의 방침임) 의무기간 3개월이전/이후에 해지를하고자 하는 경우는, 회원 본인이 '회사'가 정한 해지 절차에 따라 서비스 해지신청을 해야한다.
- '회사'가 정한 4개월의무기간이전 해지절차
* 자동연장결제 회원은 3일이내에 해지가 가능하며 3일이 초과된 후에 해지할 경우 2개월 결제금(9,000원)을 일할 계산하여 그 차액 만큼을 환불하고 3일이 초과 30일 이내에 해지 할 경우 1개월 결제로 전환 할수 있다.
* '회사'가 제공하는 프로그램상 요금문의란에 해지사유를 기재하여 신청
* 유선상 '회사'의 고객지원센터로 해지사유를 설명후 신청
* '회사' help메일로 해지사유를 기재하여 신청
* '회사' 홈페이지 자동연장요금 해지신청서에 기재하여 신청


- 결제창

아래 결제 창을 보더라도  약관을 보기  힘들도록 아주 작게 제공하고 있어.
약관은 형식적인으로  제공되고 있는 것이지, 사용자 한테 자동결제에 대한 명확한 약관 제공을 피하고 있음을 알수 있습니다.

사용자 삽입 이미지


그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23


<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15


<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Adware/Rogue.PcSave.905216
dbp.exe  Win-Adware/Rogue.PcSave.339456
imgrs.exe  Win-Adware/WinDots.94208 (SZ) 과  Win-Trojan/Xema.variant (V3)

2> 네이버 툴바

Grayware/PCSave

3> 하우리 (바이로봇)

Adware.PCSafe.R
dbp.exe  Adware.PCSafe.R.339456

4> 알약 v1.0 beta1

dbp.exe  V.DWN.Misc.196608


<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.

<설치정보><2007.12.10>

제작사에서 제공하는 삭제 파일 : http://update.pcsave.co.kr/setup/uninstall.exe

제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> pcsave 삭제

시작프로그램에 아래항목 등록

[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[pcsave] C:\Program Files\pcsave\pcsaveup.exe hide

윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록

(no name) - {F890B643-C3E4-4293-9FC0-E8159285CE6B}
- C:\Program Files\pcsave\fb.dll

사용자 삽입 이미지

위에 언급된 BHO 가 제거 되지 않을 경우  아래 프로그램으 사용해보세여

HijackThis - 보안툴 :  http://fantasy-actuality.tistory.com/103


<설치 레지스터리 일부><2007.12.10>

HKEY_CLASSES_ROOT\Borland.Midas_DatapacketRead.1
HKEY_CLASSES_ROOT\Borland.Midas_DatapacketRead.1
HKEY_CLASSES_ROOT\Borland.Midas_DSBase
HKEY_CLASSES_ROOT\Borland.Midas_DSBase.1
HKEY_CLASSES_ROOT\Borland.Midas_DSCursor
HKEY_CLASSES_ROOT\Borland.Midas_DSCursor.1
HKEY_CLASSES_ROOT\CLSID\{9E8D2FA1-591C-11D0-BF52-0020AF32BD64}
HKEY_CLASSES_ROOT\CLSID\{F890B643-C3E4-4293-9FC0-E8159285CE6B}
HKEY_CURRENT_USER\Software\pcsave
HKEY_CURRENT_USER\Software\registry_admin
HKEY_CURRENT_USER\Software\nopcsave
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DatapacketRead.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DatapacketWrite.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSBase
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSBase.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSCursor
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Borland.Midas_DSCursor.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{9E8D2FA1-591C-11D0-BF52-0020AF32BD64}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\
{F890B643-C3E4-4293-9FC0-E8159285CE6B}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\pcsave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Uninstall\pcsave
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\pcsave
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F890B643-C3E4-4293-9FC0-E8159285CE6B}


<설치 폴더 일부><2007.12.10>

c:\Documents and Settings\계정\바탕 화면

피시세이브.lnk 2007-12-10 20:41.48 680
c:\Documents and Settings\계정\시작 메뉴\프로그램\pcsave

pcsave 삭제.lnk 2007-12-10 20:41.48 705

피시세이브.lnk 2007-12-10 20:41.48 692
c:\Program Files\pcsave

config.ini 2007-08-14 14:21.30 859

dlist.da 2007-03-11 14:43.58 28

driverManager.exe 2007-03-13 10:42.16 172,032

fb.dll 2007-09-26 16:10.18 459,264

filecheck.ini 2007-05-05 18:29.22 502

midas.dll 2002-06-09 23:00.00 123,904

ntfile.ini 2007-12-10 20:41.57 0

pcsave.exe 2007-09-24 11:57.52 905,216

pcsaveup.exe 2007-08-15 09:52.16 354,304

uninstall.exe 2007-08-15 09:52.46 310,272

update.ini 2007-12-10 20:41.54 0
c:\Program Files\pcsave\img

alram.gif 2007-07-28 20:19.28 33,733

ber.gif 2007-07-28 20:14.22 6,295

left_btn_01.gif 2007-08-06 10:56.42 4,367

left_btn_02.gif 2007-08-06 10:56.52 4,135

left_btn_03.gif 2007-08-06 10:57.00 4,250

left_btn_04.gif 2007-08-06 10:57.08 4,422

left_btn_05.gif 2007-08-06 10:57.16 4,415

left_btn_06.gif 2007-08-06 10:57.24 4,020

left_btn_click_01.gif 2007-08-06 10:58.24 4,086

left_btn_click_02.gif 2007-08-06 10:58.30 3,910

left_btn_click_03.gif 2007-08-06 10:58.38 3,985

left_btn_click_04.gif 2007-08-06 10:58.52 4,059

left_btn_click_05.gif 2007-08-06 10:59.02 4,026

left_btn_click_06.gif 2007-08-06 10:59.36 3,773

left_btn_on_01.gif 2007-08-06 10:57.36 4,493

left_btn_on_02.gif 2007-08-06 10:57.44 4,232

left_btn_on_03.gif 2007-08-06 10:57.52 4,392

left_btn_on_04.gif 2007-08-06 10:58.00 4,524

left_btn_on_05.gif 2007-08-06 10:58.06 4,442

left_btn_on_06.gif 2007-08-06 10:58.14 4,105

main.jpg 2007-08-14 10:58.04 114,560

messageok.gif 2007-08-13 11:04.12 15,774

messageyes_or_no.gif 2007-07-28 17:11.54 15,917

pass.gif 2007-07-28 17:12.20 15,992

pass_change.gif 2007-07-30 12:07.18 13,905

sysdown.gif 2007-07-28 17:17.30 16,596

Thumbs.db 2007-08-03 14:58.24 155,648

title1.gif 2007-08-13 15:42.06 11,027

title2.gif 2007-08-13 15:41.58 13,227

title3.gif 2007-08-13 15:42.28 13,514

title4-1.gif 2007-08-13 15:43.04 6,038

title4.gif 2007-08-13 15:42.48 12,962

title5.gif 2007-08-13 15:43.22 8,124

title6-1.gif 2007-08-13 15:44.28 7,500

title6.gif 2007-08-13 15:44.18 7,578

title7.gif 2007-08-13 15:44.42 13,067

tmp.gif 2007-08-14 09:59.00 7,489

tmp2.gif 2007-08-14 09:59.14 264

view_button.gif 2007-08-14 10:06.22 712

win.gif 2007-08-14 15:52.52 56,556
c:\Program Files\pcsave\report

2007-12.ale 2007-12-10 20:41.57 61

설명.txt 2007-12-10 20:41.47 218
c:\Program Files\pcsave\value

b_ac.da2 2007-02-03 14:08.56 16,877

chdir.da 2007-04-17 12:13.54 788

wac.da 2006-09-14 14:46.30 8,812

wcode.da 2007-10-02 14:57.06 5,196,470

wcode1.da 2007-10-02 14:57.06 187,580

wcode2.da 2007-10-30 14:55.24 378,979

wurl.da 2007-04-17 09:38.32 127,990