입력일 : 2007.12.13
Windows KyleXY
- 다른이름의 변종들
1. Adware - Windows DocQ 2.0
2. Adware - tosync for Windows Sys
3. kai for Windows Sys
- 일부 기능
인터넷 익스플로어 주소줄 특정단어를 입력후 검색을 시도할 경우 입력한 단어를 가로채어
키워드에 매칭된 사이트를 팝업을 통해 화면에 보여줌.
<유포관련 정보><2007.12.10>
Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회>
--> http://fantasy-actuality.tistory.com/202
File instdq.exe received on 12.11.2007 07:46:39 (CET)
MD5: 7f21d51ca647bac53d19f19d5a2d250d
Windows doublepoint <광고용 툴바> 가 설치될 당시 생성되는 instdq.exe 에 의해
설치된다.
instdq.exe 는 아래 URL 에서 특정파일을 다운로드 한다.
hxxp://xxxx.imgserver.kr/kyle/xxxxx/kyleupdate.zip
<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 하우리 (바이로봇)
Adware.Kyle
2> 바이러스체이서
instdq.exe Trojan.DownLoader.38001
kyle.dll Adware.Innercom
kyleon.exe Trojan.DownLoader.36461
3> Kaspersky
kyle.dll Trojan-Downloader.Win32.Agent.dkt
4> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
instdq.exe Win-Trojan/Downloader.281600 (V3) 12월 13일자 첫번째 엔진
<일부 파일 바이러스토탈 진단상황>
보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20
File kyle.dll received on 12.12.2007 15:56:34 (CET)
MD5: bdc4483c090b015a03a914475ad846ca
--> http://www.virustotal.com/resultado.html?0eb2ac039ac201a40b3942880fe2fc73
File kyleon.exe received on 12.12.2007 15:57:12 (CET)
MD5: 7d2a33278ba72ad1ea45dfb41f16efa4
--> http://www.virustotal.com/resultado.html?a327af84ef7eae1e9a28593359b1f3eb
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
--> http://fantasy-actuality.tistory.com/103
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> Windows KyleXY
컴퓨터에 설치될 당시 생성된 삭제정보파일
시작프로그램에 아래항목 등록
[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[kyle] C:\WINDOWS\system32\kyle\kyleon.exe
윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록
(no name) - {9C4218AC-B30F-4766-9638-DAA5CA570E9A} - C:\WINDOWS\system32\kyle\kyle.dll
<설치 레지스터리 일부><2007.12.10>
HKEY_CLASSES_ROOT\CLSID\{9C4218AC-B30F-4766-9638-DAA5CA570E9A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C4218AC-B30F-
4766-9638-DAA5CA570E9A}
HKEY_LOCAL_MACHINE\SOFTWARE\kyle\1\version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Explorer\Browser Helper Objects\{9C4218AC-B30F-4766-9638-DAA5CA570E9A}
<설치 폴더 일부><2007.12.10>
<수동 삭제 방법>
1> 레지스터리 삽입값 제거
--> 위에 언급된 정보를 참고하여 삭제
레지스터리 수동삭제 후 인터넷 주소줄 검색창이 살아진다면 아래링크 참고 하여 복구
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
2> 상기 언급된 설치폴더를 보고 수동으로 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 프로그램으로 해당파일 제거
또는 재부팅후 삭제
HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103
3> 재부팅전에 주의해야 할 사항
시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거
Windows KyleXY
- 다른이름의 변종들
1. Adware - Windows DocQ 2.0
2. Adware - tosync for Windows Sys
3. kai for Windows Sys
- 일부 기능
인터넷 익스플로어 주소줄 특정단어를 입력후 검색을 시도할 경우 입력한 단어를 가로채어
키워드에 매칭된 사이트를 팝업을 통해 화면에 보여줌.
<유포관련 정보><2007.12.10>
Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회>
--> http://fantasy-actuality.tistory.com/202
File instdq.exe received on 12.11.2007 07:46:39 (CET)
MD5: 7f21d51ca647bac53d19f19d5a2d250d
Windows doublepoint <광고용 툴바> 가 설치될 당시 생성되는 instdq.exe 에 의해
설치된다.
instdq.exe 는 아래 URL 에서 특정파일을 다운로드 한다.
hxxp://xxxx.imgserver.kr/kyle/xxxxx/kyleupdate.zip
<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 하우리 (바이로봇)
Adware.Kyle
2> 바이러스체이서
instdq.exe Trojan.DownLoader.38001
kyle.dll Adware.Innercom
kyleon.exe Trojan.DownLoader.36461
3> Kaspersky
kyle.dll Trojan-Downloader.Win32.Agent.dkt
4> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
instdq.exe Win-Trojan/Downloader.281600 (V3) 12월 13일자 첫번째 엔진
<일부 파일 바이러스토탈 진단상황>
보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20
File kyle.dll received on 12.12.2007 15:56:34 (CET)
MD5: bdc4483c090b015a03a914475ad846ca
--> http://www.virustotal.com/resultado.html?0eb2ac039ac201a40b3942880fe2fc73
File kyleon.exe received on 12.12.2007 15:57:12 (CET)
MD5: 7d2a33278ba72ad1ea45dfb41f16efa4
--> http://www.virustotal.com/resultado.html?a327af84ef7eae1e9a28593359b1f3eb
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.12.10>
HijackThis - 보안툴 <BHO 에 등록된 것을 제거시 도움되는 프로그램>--> http://fantasy-actuality.tistory.com/103
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> Windows KyleXY
컴퓨터에 설치될 당시 생성된 삭제정보파일
invalid-file시작프로그램에 아래항목 등록
[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[kyle] C:\WINDOWS\system32\kyle\kyleon.exe
윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록
(no name) - {9C4218AC-B30F-4766-9638-DAA5CA570E9A} - C:\WINDOWS\system32\kyle\kyle.dll
<설치 레지스터리 일부><2007.12.10>
HKEY_CLASSES_ROOT\CLSID\{9C4218AC-B30F-4766-9638-DAA5CA570E9A}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9C4218AC-B30F-
4766-9638-DAA5CA570E9A}
HKEY_LOCAL_MACHINE\SOFTWARE\kyle\1\version
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi
on\Explorer\Browser Helper Objects\{9C4218AC-B30F-4766-9638-DAA5CA570E9A}
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | |||
| kyle | REG_SZ | C:\WINDOWS\system32\kyle\kyleon.exe | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall\kyle | |||
| DisplayIcon | REG_SZ | C:\WINDOWS\system32\kyle\rmkyle.exe | |
| DisplayName | REG_SZ | Windows KyleXY | |
| UninstallString | REG_SZ | C:\WINDOWS\system32\kyle\rmkyle.exe | |
<설치 폴더 일부><2007.12.10>
| c:\WINDOWS\system32\kyle | |||
| keyword.dat | 2007-10-20 17:43.06 | 16,633 | |
| kyle.dll | 2007-11-05 11:55.16 | 214,016 | |
| kyleon.exe | 2007-11-05 13:56.20 | 319,488 | |
| rmkyle.exe | 2007-11-05 13:25.56 | 211,456 | |
<수동 삭제 방법>
1> 레지스터리 삽입값 제거
--> 위에 언급된 정보를 참고하여 삭제
레지스터리 수동삭제 후 인터넷 주소줄 검색창이 살아진다면 아래링크 참고 하여 복구
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
2> 상기 언급된 설치폴더를 보고 수동으로 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 프로그램으로 해당파일 제거
또는 재부팅후 삭제
HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103
3> 재부팅전에 주의해야 할 사항
시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Windows Pluspackage Installer <다른 버전 : pluscashbag / 플러스캐쉬백> (0) | 2007.12.16 |
|---|---|
| Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To > (0) | 2007.12.15 |
| Adware - Windows KToolbar Toolbar (1) | 2007.12.12 |
| Adware - Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회> (4) | 2007.12.11 |
| Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 > (0) | 2007.12.10 |
