입력일 : 2007.12.17
<유포 관련 정보><2007.12.15>
--> http://fantasy-actuality.tistory.com/205
File window_search.exe received on 12.16.2007 13:15:30 (CET)
MD5: ba294429e6bf33836e44962bb1e12024
--> http://www.virustotal.com/resultado.html?84c5cd955fb3147ff08900b0d5ba5e5a
--> 접속을 시도하는 페이지 :
hxxp://website.webxxxxx.co.kr/install.xxx?version=%s&scode=%s&mac=%s
위에 언급된 다운로더에 의해 설치된다. 이외에 다른 경로도 존재 할 수 있으며,
유포시점에 따라 애드웨어 명은 상이 할 수 있습니다.
WebSite 에 대한 배포사이트 입장 및 제품 설명
- "website"는 인터넷 검색을 쉽고 편리하게 도와주는 웹 검색 도우미 입니다.
- 인터넷 검색 도중 현재 보고 계신 컨텐츠와 유사한 컨텐츠를 보유하고 있는 추천 사이트의 리스트를 실시간으로 제공합니다
- website: 인터넷 브라우저를 이용하여 또는 특정 검색엔진을 이용하여 검색을 하는 중에, 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바의 검색엔진 도구를 사용하여, 사용자의 효율적인 검색 작업 ~~~
<참고>
- 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바는 무엇을 말하는 것일 까..?
아래 그림은 이해를 돕기 위한 예시입니다.
- 해당 제품이 동작했을 때 보여주는 창은 아님을 밝힙니다.
<진단상황><2007.12.15>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
- Win-Dropper/WebSite.78336
- Win-Adware/Website.40960
2> 하우리 (바이로봇)
- Adware.Website
- Adware.WebSearchBar.To
3> 네이버 툴바
- Adware/WebSite
--> http://file.web-site.co.kr/website/website_uninstall.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> WebSite
<다른버전 : WebsiteBar >
시작프로그램에 아래항목 등록
[WebSite.exe] C:\Program Files\WebSite\WebSite.exe
[WebSite] C:\Program Files\WebSite\WebSite.exe
<설치 레지스터리 일부><2007.12.15>
HKEY_CLASSES_ROOT\CLSID\{F102FC89-1835-47c9-90C2-EEB60C25AB48}
HKEY_CLASSES_ROOT\Interface\{FE3510DE-3891-4304-BBED-E732359E9C84}
HKEY_CLASSES_ROOT\TypeLib\{3150972A-B5BB-4E3E-A59F-173FC424FA3E}\1.0
HKEY_CLASSES_ROOT\WebSearchBar.SearchCtl
HKEY_CLASSES_ROOT\WebSearchBar.SearchCtl.1
HKEY_CURRENT_USER\Software\WebSite
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F102FC89-1835-47c9-90C2
-EEB60C25AB48}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FE3510DE-3891-4304-BBED
-E732359E9C84}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3150972A-B5BB-4E3E-A59F
-173FC424FA3E}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSearchBar.SearchCtl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSearchBar.SearchCtl.1
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\WebSite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WebSite.exe REG_SZ C:\Program Files\WebSite\WebSite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Uninstall\WebSite
DisplayName REG_SZ WebSite
DisplayVersion REG_SZ 1.0.0.3
HelpLink REG_SZ add
Publisher REG_SZ WebSite add
UninstallString REG_SZ C:\Program Files\WebSite\WebSiteUnInstall.exe
<설치 폴더 일부><2007.12.15>
< 관련글 링크 >
2007/12/15 - Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To >
2007/10/06 - Adware/Rogue - vaccine7
<유포 관련 정보><2007.12.15>
--> http://fantasy-actuality.tistory.com/205
File window_search.exe received on 12.16.2007 13:15:30 (CET)
MD5: ba294429e6bf33836e44962bb1e12024
--> http://www.virustotal.com/resultado.html?84c5cd955fb3147ff08900b0d5ba5e5a
--> 접속을 시도하는 페이지 :
hxxp://website.webxxxxx.co.kr/install.xxx?version=%s&scode=%s&mac=%s
위에 언급된 다운로더에 의해 설치된다. 이외에 다른 경로도 존재 할 수 있으며,
유포시점에 따라 애드웨어 명은 상이 할 수 있습니다.
WebSite 에 대한 배포사이트 입장 및 제품 설명
- "website"는 인터넷 검색을 쉽고 편리하게 도와주는 웹 검색 도우미 입니다.
- 인터넷 검색 도중 현재 보고 계신 컨텐츠와 유사한 컨텐츠를 보유하고 있는 추천 사이트의 리스트를 실시간으로 제공합니다
- website: 인터넷 브라우저를 이용하여 또는 특정 검색엔진을 이용하여 검색을 하는 중에, 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바의 검색엔진 도구를 사용하여, 사용자의 효율적인 검색 작업 ~~~
<참고>
- 좌측의 버티컬(즐겨찾기가 나오는 좌측 부분)바는 무엇을 말하는 것일 까..?
아래 그림은 이해를 돕기 위한 예시입니다.
- 해당 제품이 동작했을 때 보여주는 창은 아님을 밝힙니다.
HijackThis - 보안툴 <참고하면 좋은 프로그램>
<진단상황><2007.12.15>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
- Win-Dropper/WebSite.78336
- Win-Adware/Website.40960
2> 하우리 (바이로봇)
- Adware.Website
- Adware.WebSearchBar.To
3> 네이버 툴바
- Adware/WebSite
<설치정보><2007.12.15>
배포사이트에서 제공하는 삭제툴--> http://file.web-site.co.kr/website/website_uninstall.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> WebSite
<다른버전 : WebsiteBar >
시작프로그램에 아래항목 등록
[WebSite.exe] C:\Program Files\WebSite\WebSite.exe
[WebSite] C:\Program Files\WebSite\WebSite.exe
<설치 레지스터리 일부><2007.12.15>
HKEY_CLASSES_ROOT\CLSID\{F102FC89-1835-47c9-90C2-EEB60C25AB48}
HKEY_CLASSES_ROOT\Interface\{FE3510DE-3891-4304-BBED-E732359E9C84}
HKEY_CLASSES_ROOT\TypeLib\{3150972A-B5BB-4E3E-A59F-173FC424FA3E}\1.0
HKEY_CLASSES_ROOT\WebSearchBar.SearchCtl
HKEY_CLASSES_ROOT\WebSearchBar.SearchCtl.1
HKEY_CURRENT_USER\Software\WebSite
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F102FC89-1835-47c9-90C2
-EEB60C25AB48}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FE3510DE-3891-4304-BBED
-E732359E9C84}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{3150972A-B5BB-4E3E-A59F
-173FC424FA3E}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSearchBar.SearchCtl
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\WebSearchBar.SearchCtl.1
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\WebSite
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WebSite.exe REG_SZ C:\Program Files\WebSite\WebSite.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Uninstall\WebSite
DisplayName REG_SZ WebSite
DisplayVersion REG_SZ 1.0.0.3
HelpLink REG_SZ add
Publisher REG_SZ WebSite add
UninstallString REG_SZ C:\Program Files\WebSite\WebSiteUnInstall.exe
<설치 폴더 일부><2007.12.15>
| c:\Program Files\WebSite | |||
| WebSite.dll | 2007-12-17 01:01.01 | 90,112 | |
| WebSite.exe | 2007-12-17 01:01.01 | 40,960 | |
| WebSiteUnInstall.exe | 2007-12-17 01:01.01 | 24,576 | |
< 관련글 링크 >
2007/12/15 - Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To >
2007/10/06 - Adware/Rogue - vaccine7
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - internet web service package v1.1 (0) | 2007.12.19 |
|---|---|
| 특정애드웨어 설치 및 특정사이트바로가기 생성자 < Ikarus 진단명>Trojan-Proxy.Win32.Delf.bx (0) | 2007.12.17 |
| Adware - Windows Pluspackage Installer <다른 버전 : pluscashbag / 플러스캐쉬백> (0) | 2007.12.16 |
| Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To > (0) | 2007.12.15 |
| Adware - Windows KyleXY <일부 구성요소가 Trojan-Downloader.Win32.Agent.dkt로 진단> (0) | 2007.12.13 |
