입력일 : 2007/12/22 23:57
문제를 제기했던 Internet Explorer Guide V2 의 원 배포처에 방문후 그곳에서
배포하는 툴바를 설치해보고 내용을 등록하는 것임을 밝힙니다.
이전 게시물 :
2007/12/20 - [유포 정보/유포 프로그램] - Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >
그렇다면 단순히 설치정보만의 제공만 이루어지는 것이 아니냐..
특정 부정적인 행위에 대한 근거가 없지 않는가 하시겠지만..
문제 점이 있다고 생각되어 포스팅 하게 되었습니다.
<제작사 : 아이엔티미디어랩>
--> http://www.go.co.kr
네이버 지식인 등에서 특정 애드웨어 반복 진단되는 문제를 질문하시는 분들이 있어 확인하다가 알게 된 내용을 적습니다.
<아래 의 진단내역은 안철수 제품의 스파이제로 의 반복 진단내역>
하우리 제품 / 엔프로덱트 제품에서도 진단되고 일부 진단되고 있으니 참고..
주기적으로 아래 레지스터리가 진단되며, 진단되기만 할 뿐 애드웨어는 없는 경우를 종종
볼수 있어 원인 애드웨어가 무엇인지 지적하고자 게시하였다.
Win-Adware/Onmuz.1482752 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OnmuzPlusUn
Win-Adware/Rogue.Cleancop.2576384 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleancop
Win-Adware/Rogue.Uware.2174976 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Uware
Win-Dropper/SMoneyShop.372842
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\savemoneyshop
<네이버 툴바의 경우 반복 진단되는 내역>
이유는 위에 언급된 애드웨어들이 시작프로그램에 등록하는 업데이트 모듈이 작동하면
스폰서 설치를 권유하는 창을 동작시키는데... 체크해제하면 설치는 되지 않지만..
레지스터리에 스폰서 목록에 있는 일부 툴의 레지스터리 정보 일부를 설치허용하지 않아도 사전에 생성하기 때문에 발생하는 문제이다.
그 원인 파일 은 updateGOSearch.exe 이 것이다...< 해당 명칭은 Go toolbar 에만 해당>
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
File updateGOSearch.exe received on 12.22.2007 15:55:11 (CET)
MD5: 69b468f15eccf7abebd371bf631cee92
http://www.virustotal.com/resultado.html?4f2d64d77995d57a9b20bcfc0b576480
< Windows Go toolbar 툴바 관련 안내문 >
약관이 좀 보기 힘들겠다... 너무 작아 ... 아에 달지 말지 그랬을까..;;
실로 보안제품이라고 홍보 하고 있는 것 같다...
<진단상황><2007.12.22>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Adware/ToolBar.Gobar.221184 <일부 레지스터리만 진단>
2> 하우리 (바이로봇)
HKCR\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE} Adware.UniBar.To
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia Adware.IEGuide
Adware.Go.To
3> 알약 v1.0 beta1
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia A.TBR.Acetoolbar
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
Windows Go toolbar uninstall
보안제품에서 진단될 경우 실시간 감시 일시 해제후 제어판에서 삭제 가능
그러나 삭제가 되지 않을 경우 .. 사용중인 보안제품으로 제거하시거나
아래 언급되는 설치정보를 참고하여 직접 삭제 하십시오..
직접 삭제시 레지스터리 정보를 빨간색으로 표시된 것을 삭제
<단, 안전모드 부팅후 삭제하시길 권장 합니다.>
안전모드 부팅은 초기 부팅시 F8 연타 후 안전모드 선택
시작프로그램에 아래항목 등록
[Windows Go toolbar] C:\Program Files\GOSearch\updateGOSearch.exe
브라우져 추가기능 관리 (BHO) 등록사항
BHO: GoExtension Class - {41410178-A480-4E9A-B776-BD617E155154}
- C:\Program Files\GOSearch\GoExt.dll
Toolbar: Windows Go toolbar(&G) - {88974EAF-DCA1-494e-A7BA-E3403B275793}
- C:\Program Files\GOSearch\GOSearch.dll
File GoExt.dll received on 12.22.2007 15:55:51 (CET)
MD5: 2e041e9f4511fa295a032c8950ac0664
http://www.virustotal.com/resultado.html?1a4368c929d0f50c5afd5f7043a51e6d
File GOSearch.dll received on 12.22.2007 16:13:10 (CET)
MD5: de3459ce02854ab77ae32a95062719f4
http://www.virustotal.com/resultado.html?67b0900fb1899a576597590dca40b8c9
<브라우져 주소줄 등록 스샷>
<설치 레지스터리 일부><2007.12.22>
HKEY_CLASSES_ROOT\CLSID\{41410178-A480-4E9A-B776-BD617E155154}
HKEY_CLASSES_ROOT\CLSID\{88974EAF-DCA1-494e-A7BA-E3403B275793}
HKEY_CLASSES_ROOT\GoExt.GoExtension
HKEY_CLASSES_ROOT\GoExt.GoExtension.1
HKEY_CLASSES_ROOT\GOSearch.GOSearch
HKEY_CLASSES_ROOT\GOSearch.GOSearch.1
HKEY_CLASSES_ROOT\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE}
HKEY_CLASSES_ROOT\Interface\{598C9790-79F6-46DB-96A3-E336BA07401F}
HKEY_CLASSES_ROOT\TypeLib\{8860A8D1-02F5-4E72-BDD8-C59E3C624C7F}\1.0
HKEY_CLASSES_ROOT\TypeLib\{F79B22A3-7E7E-459F-96D7-F3296340090F}\1.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{88974EAF-DCA1-494E-A7BA-E3403B275793}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Windows Go toolbar REG_SZ C:\Program Files\GOSearch\updateGOSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41410178-A480-4E9A
-B776-BD617E155154}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88974EAF-DCA1-494e
-A7BA-E3403B275793}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{508EC2B1-D616-47B2
-AA01-CE0FD6D6DFBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{598C9790-79F6-46DB
-96A3-E336BA07401F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8860A8D1-02F5-4E72
-BDD8-C59E3C624C7F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F79B22A3-7E7E-459F
-96D7-F3296340090F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia\toolbar
installfile REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
{88974EAF-DCA1-494e-A7BA-E3403B275793} REG_BINARY 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows Go toolbar uninstall
DisplayIcon REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
DisplayName REG_SZ Windows Go toolbar uninstall
UninstallString REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
<설치 폴더 일부><2007.12.22>
<설치될 당시 생성된 삭제 정보 파일><2007.12.23>
문제를 제기했던 Internet Explorer Guide V2 의 원 배포처에 방문후 그곳에서
배포하는 툴바를 설치해보고 내용을 등록하는 것임을 밝힙니다.
이전 게시물 :
2007/12/20 - [유포 정보/유포 프로그램] - Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >
악성배포 근거가 없는데 왜 포스트하는 가에 의문을 가지신다면..
같은 제작사에 툴바를 프로그램명만 다르게 하여 배포하고 하나만이 악성행위를 한다고 해당프로그램만 악성이라고 볼수 없다는 판단하기 때문에 확인하였습니다.
같은 제작사에 툴바를 프로그램명만 다르게 하여 배포하고 하나만이 악성행위를 한다고 해당프로그램만 악성이라고 볼수 없다는 판단하기 때문에 확인하였습니다.
그렇다면 단순히 설치정보만의 제공만 이루어지는 것이 아니냐..
특정 부정적인 행위에 대한 근거가 없지 않는가 하시겠지만..
문제 점이 있다고 생각되어 포스팅 하게 되었습니다.
<제작사 : 아이엔티미디어랩>
--> http://www.go.co.kr
네이버 지식인 등에서 특정 애드웨어 반복 진단되는 문제를 질문하시는 분들이 있어 확인하다가 알게 된 내용을 적습니다.
온뮤즈 / 클린캅 / GO툴바 / 등이 설치된 경우 ... 특정 애드웨어를 사용중인 보안제품에서 반복 진단한다면 의심해 보아라....
설치되지 않은 것을 잡는다면 더욱더 의심해 보라 ...
특히 진단내역이 아래와 같다면 더더욱 의심해보길 바란다.
설치되지 않은 것을 잡는다면 더욱더 의심해 보라 ...
특히 진단내역이 아래와 같다면 더더욱 의심해보길 바란다.
<아래 의 진단내역은 안철수 제품의 스파이제로 의 반복 진단내역>
하우리 제품 / 엔프로덱트 제품에서도 진단되고 일부 진단되고 있으니 참고..
주기적으로 아래 레지스터리가 진단되며, 진단되기만 할 뿐 애드웨어는 없는 경우를 종종
볼수 있어 원인 애드웨어가 무엇인지 지적하고자 게시하였다.
Win-Adware/Onmuz.1482752 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OnmuzPlusUn
Win-Adware/Rogue.Cleancop.2576384 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\cleancop
Win-Adware/Rogue.Uware.2174976 HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Uware
Win-Dropper/SMoneyShop.372842
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\savemoneyshop
<네이버 툴바의 경우 반복 진단되는 내역>
이유는 위에 언급된 애드웨어들이 시작프로그램에 등록하는 업데이트 모듈이 작동하면
스폰서 설치를 권유하는 창을 동작시키는데... 체크해제하면 설치는 되지 않지만..
레지스터리에 스폰서 목록에 있는 일부 툴의 레지스터리 정보 일부를 설치허용하지 않아도 사전에 생성하기 때문에 발생하는 문제이다.
그 원인 파일 은 updateGOSearch.exe 이 것이다...< 해당 명칭은 Go toolbar 에만 해당>
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
File updateGOSearch.exe received on 12.22.2007 15:55:11 (CET)
MD5: 69b468f15eccf7abebd371bf631cee92
http://www.virustotal.com/resultado.html?4f2d64d77995d57a9b20bcfc0b576480
< Windows Go toolbar 툴바 관련 안내문 >
인터넷 브라우져 주소줄 검색을 Go툴바로 대체할 경우 의 알림표시
--> 이 기능은 작동안하기도 함. 하단 그림은 알림표시 될 경우 표시되는 내용
--> 이 기능은 작동안하기도 함. 하단 그림은 알림표시 될 경우 표시되는 내용
약관이 좀 보기 힘들겠다... 너무 작아 ... 아에 달지 말지 그랬을까..;;
아에 보안제품이라고 홍보해라...
유해사이트 차단에 유해광고를 막아준다고 하고 있네..;; 거기다 취약점 보강..
그런데 Go toolbar 는 go.co.kr 를 사용자가 경유하도록 하여 광고비를 벌기 위한 툴바일 뿐이다. 그런데 언급하는 내용은 너무 거창하다 ...
유해사이트 차단에 유해광고를 막아준다고 하고 있네..;; 거기다 취약점 보강..
그런데 Go toolbar 는 go.co.kr 를 사용자가 경유하도록 하여 광고비를 벌기 위한 툴바일 뿐이다. 그런데 언급하는 내용은 너무 거창하다 ...
실로 보안제품이라고 홍보 하고 있는 것 같다...
<진단상황><2007.12.22>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Adware/ToolBar.Gobar.221184 <일부 레지스터리만 진단>
2> 하우리 (바이로봇)
HKCR\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE} Adware.UniBar.To
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia Adware.IEGuide
Adware.Go.To
3> 알약 v1.0 beta1
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia A.TBR.Acetoolbar
<설치정보><2007.12.22>
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
HijackThis - 보안툴 <참고하면 좋은 프로그램>
--> http://fantasy-actuality.tistory.com/103
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
Windows Go toolbar uninstall
보안제품에서 진단될 경우 실시간 감시 일시 해제후 제어판에서 삭제 가능
그러나 삭제가 되지 않을 경우 .. 사용중인 보안제품으로 제거하시거나
아래 언급되는 설치정보를 참고하여 직접 삭제 하십시오..
직접 삭제시 레지스터리 정보를 빨간색으로 표시된 것을 삭제
<단, 안전모드 부팅후 삭제하시길 권장 합니다.>
안전모드 부팅은 초기 부팅시 F8 연타 후 안전모드 선택
시작프로그램에 아래항목 등록
[Windows Go toolbar] C:\Program Files\GOSearch\updateGOSearch.exe
브라우져 추가기능 관리 (BHO) 등록사항
BHO: GoExtension Class - {41410178-A480-4E9A-B776-BD617E155154}
- C:\Program Files\GOSearch\GoExt.dll
Toolbar: Windows Go toolbar(&G) - {88974EAF-DCA1-494e-A7BA-E3403B275793}
- C:\Program Files\GOSearch\GOSearch.dll
File GoExt.dll received on 12.22.2007 15:55:51 (CET)
MD5: 2e041e9f4511fa295a032c8950ac0664
http://www.virustotal.com/resultado.html?1a4368c929d0f50c5afd5f7043a51e6d
File GOSearch.dll received on 12.22.2007 16:13:10 (CET)
MD5: de3459ce02854ab77ae32a95062719f4
http://www.virustotal.com/resultado.html?67b0900fb1899a576597590dca40b8c9
<브라우져 주소줄 등록 스샷>
<설치 레지스터리 일부><2007.12.22>
HKEY_CLASSES_ROOT\CLSID\{41410178-A480-4E9A-B776-BD617E155154}
HKEY_CLASSES_ROOT\CLSID\{88974EAF-DCA1-494e-A7BA-E3403B275793}
HKEY_CLASSES_ROOT\GoExt.GoExtension
HKEY_CLASSES_ROOT\GoExt.GoExtension.1
HKEY_CLASSES_ROOT\GOSearch.GOSearch
HKEY_CLASSES_ROOT\GOSearch.GOSearch.1
HKEY_CLASSES_ROOT\Interface\{508EC2B1-D616-47B2-AA01-CE0FD6D6DFBE}
HKEY_CLASSES_ROOT\Interface\{598C9790-79F6-46DB-96A3-E336BA07401F}
HKEY_CLASSES_ROOT\TypeLib\{8860A8D1-02F5-4E72-BDD8-C59E3C624C7F}\1.0
HKEY_CLASSES_ROOT\TypeLib\{F79B22A3-7E7E-459F-96D7-F3296340090F}\1.0
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
{88974EAF-DCA1-494E-A7BA-E3403B275793}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Windows Go toolbar REG_SZ C:\Program Files\GOSearch\updateGOSearch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{41410178-A480-4E9A
-B776-BD617E155154}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{88974EAF-DCA1-494e
-A7BA-E3403B275793}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GoExt.GoExtension.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GOSearch.GOSearch.1
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{508EC2B1-D616-47B2
-AA01-CE0FD6D6DFBE}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{598C9790-79F6-46DB
-96A3-E336BA07401F}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{8860A8D1-02F5-4E72
-BDD8-C59E3C624C7F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{F79B22A3-7E7E-459F
-96D7-F3296340090F}\1.0
HKEY_LOCAL_MACHINE\SOFTWARE\GOSearch
HKEY_LOCAL_MACHINE\SOFTWARE\intmedia\toolbar
installfile REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
{88974EAF-DCA1-494e-A7BA-E3403B275793} REG_BINARY 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\Windows Go toolbar uninstall
DisplayIcon REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
DisplayName REG_SZ Windows Go toolbar uninstall
UninstallString REG_SZ "C:\Program Files\GOSearch\uninstall.exe"
<설치 폴더 일부><2007.12.22>
| c:\Documents and Settings\계정\시작 메뉴\프로그램\Windows Go toolbar | |||
| Windows Go toolbar uninstall.lnk | 2007-12-21 23:37.02 | 1,567 | |
| 라이센스.lnk | 2007-12-21 23:37.02 | 1,551 | |
| c:\Program Files\GOSearch | |||
| GoExt.dll | 2007-11-30 15:55.04 | 81,920 | |
| GOSearch.dll | 2007-11-30 14:46.52 | 217,088 | |
| GOSearchInfo.exe | 2007-04-27 16:36.20 | 1,204,224 | |
| License.txt | 2007-04-27 15:58.36 | 6,771 | |
| uninstall.exe | 2007-12-21 23:37.02 | 125,192 | |
| updateGOSearch.exe | 2007-11-30 16:11.20 | 462,848 | |
<설치될 당시 생성된 삭제 정보 파일><2007.12.23>
invalid-file'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Uninstall AdImageware (1) | 2007.12.24 |
|---|---|
| Adware/Rogue - Windows-site security (KS82381) (유해사이트차단) (0) | 2007.12.24 |
| Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 > (2) | 2007.12.21 |
| Grayware - Windows Urldoumi Object (0) | 2007.12.20 |
| Adware - internet web service package v1.1 (0) | 2007.12.19 |
