<유포정보><2007.12.27>
27일확인할때까지 특정 블로그에 입력되어진 Active X 로 동의창없이 무단 설치되는 것을 확인. 그러나 해당 제작사는 업데이트를 하지 않은지 오래된 것으로 보임.
유포링크에서 설치될 당시 Active X 링크에 의해 NCUpdater.exe 가 사용자컴의 인터넷 임시폴더에 다운로드되며, NClean을 동의창 을 제공하지 않고 설치한다.
File NCUpdater.exe received on 12.27.2007 16:40:28 (CET)
MD5: 3c91a2c0e55a44c6d14b87d2c46dee26
http://www.virustotal.com/resultado.html?377479edb087627f76ac8e06f19343c0
제작사 홈 방문시 확인한 사항.<업데이트 진행없음>
웃긴점 자신이 중복실행되어도 인식하지 못하고 게속 실행된다 ..
검사창 중복실행이야 보안제품마다 다 있기 때문에 그점은 넘어가더라도.
<사이트에 입력된 고객센터 정보>
<진단상황><2007.12.27>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
<상기 사항의 일부는 30일짜로 안철수연구소 엔진에 반영것임.>
Win-Downloader/Rogue.NClean.40960
Win-Adware/Rogue.NClean.245760
Win-Adware/Rogue.NClean.483840
2> 네이버툴바
Adware/NClean
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
(NClean_activeX Control) - hxxp://nclean.co.kr/xxxxx/nclean.cab
제작사 제공 삭제파일 : http://www.nclean.co.kr/NClean_uninstall.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
NClean
시작프로그램에 아래항목 등록
[NClean] C:\Program Files\NClean\NClean.exe Icon
[NCPopup] C:\Program Files\NClean\NCPopup.exe
<설치 레지스터리 일부><2007.12.27>
HKEY_CLASSES_ROOT\CLSID\{243C3672-9526-40AA-BE22-988F92CFA591}
HKEY_CLASSES_ROOT\NCleanactiveX.NCleanactiveXCtrl.1
HKEY_CURRENT_USER\Software\NClean
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{243C3672-9526-40AA
-BE22-988F92CFA591}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NCleanactiveX.NCleanactiveXCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NClean REG_SZ C:\Program Files\NClean\NClean.exe
NCPopup REG_SZ C:\Program Files\NClean\NCPopup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\NClean
DisplayName REG_SZ NClean
DisplayVersion REG_SZ 1.0
HelpLink REG_SZ http://nclean.co.kr
Publisher REG_SZ NClean del
UninstallString REG_SZ C:\WINDOWS\system32\NCRemover.exe
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\NClean
code1 REG_SZ point
code2 REG_SZ
MacAddress REG_SZ 00:0C:29:9F:81:9F
ProgramVersion REG_SZ 3.1
<설치 폴더 일부><2007.12.27>
27일확인할때까지 특정 블로그에 입력되어진 Active X 로 동의창없이 무단 설치되는 것을 확인. 그러나 해당 제작사는 업데이트를 하지 않은지 오래된 것으로 보임.
유포링크에서 설치될 당시 Active X 링크에 의해 NCUpdater.exe 가 사용자컴의 인터넷 임시폴더에 다운로드되며, NClean을 동의창 을 제공하지 않고 설치한다.
File NCUpdater.exe received on 12.27.2007 16:40:28 (CET)
MD5: 3c91a2c0e55a44c6d14b87d2c46dee26
http://www.virustotal.com/resultado.html?377479edb087627f76ac8e06f19343c0
| DrWeb | 4.44.0.09170 | 2007.12.27 | Trojan.DownLoader.origin |
제작사 홈 방문시 확인한 사항.<업데이트 진행없음>
웃긴점 자신이 중복실행되어도 인식하지 못하고 게속 실행된다 ..
검사창 중복실행이야 보안제품마다 다 있기 때문에 그점은 넘어가더라도.
<사이트에 입력된 고객센터 정보>
<진단상황><2007.12.27>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
<상기 사항의 일부는 30일짜로 안철수연구소 엔진에 반영것임.>
Win-Downloader/Rogue.NClean.40960
Win-Adware/Rogue.NClean.245760
Win-Adware/Rogue.NClean.483840
2> 네이버툴바
Adware/NClean
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<설치정보><2007.12.27>
url : {243C3672-9526-40AA-BE22-988F92CFA591}(NClean_activeX Control) - hxxp://nclean.co.kr/xxxxx/nclean.cab
제작사 제공 삭제파일 : http://www.nclean.co.kr/NClean_uninstall.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
NClean
시작프로그램에 아래항목 등록
[NClean] C:\Program Files\NClean\NClean.exe Icon
[NCPopup] C:\Program Files\NClean\NCPopup.exe
<설치 레지스터리 일부><2007.12.27>
HKEY_CLASSES_ROOT\CLSID\{243C3672-9526-40AA-BE22-988F92CFA591}
HKEY_CLASSES_ROOT\NCleanactiveX.NCleanactiveXCtrl.1
HKEY_CURRENT_USER\Software\NClean
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{243C3672-9526-40AA
-BE22-988F92CFA591}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\NCleanactiveX.NCleanactiveXCtrl.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
NClean REG_SZ C:\Program Files\NClean\NClean.exe
NCPopup REG_SZ C:\Program Files\NClean\NCPopup.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\NClean
DisplayName REG_SZ NClean
DisplayVersion REG_SZ 1.0
HelpLink REG_SZ http://nclean.co.kr
Publisher REG_SZ NClean del
UninstallString REG_SZ C:\WINDOWS\system32\NCRemover.exe
HKEY_USERS\S-1-5-21-448539723-1482476501-682003330-1003\Software\NClean
code1 REG_SZ point
code2 REG_SZ
MacAddress REG_SZ 00:0C:29:9F:81:9F
ProgramVersion REG_SZ 3.1
<설치 폴더 일부><2007.12.27>
| c:\Documents and Settings\계정\Application Data\Microsoft\Internet Explorer\Quick Launch | |||
| NClean.lnk | 2007-12-27 23:20.06 | 674 | |
| c:\Documents and Settings\계정\바탕 화면 | |||
| NClean.lnk | 2007-12-27 23:20.06 | 656 | |
| c:\Documents and Settings\계정\시작 메뉴\프로그램\NClean | |||
| NClean 제거.lnk | 2007-12-27 23:20.06 | 657 | |
| NClean.lnk | 2007-12-27 23:20.06 | 668 | |
| c:\Program Files\NClean | |||
| NClean.dll | 2007-12-27 23:20.00 | 4,326,832 | |
| NClean.exe | 2007-12-27 23:19.53 | 505,856 | |
| NClean.log | 2007-12-27 23:20.03 | 46 | |
| NCPopup.exe | 2007-12-27 23:20.00 | 245,760 | |
| NCUpdater.exe | 2007-12-27 23:19.50 | 705,024 | |
| c:\WINDOWS\Downloaded Program Files | |||
| NClean_activeX Control | 2006-09-08 11:22.32 | ||
| c:\WINDOWS\system32 | |||
| NCRemover.exe | 2007-12-27 23:20.02 | 249,856 | |
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - win pluspoint Manager V2.33 (2) | 2007.12.26 |
|---|---|
| Adware - Uninstall AdImageware (1) | 2007.12.24 |
| Adware/Rogue - Windows-site security (KS82381) (유해사이트차단) (0) | 2007.12.24 |
| Adware - Windows Go toolbar uninstall < 별칭 : GO툴바 > (1) | 2007.12.23 |
| Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 > (2) | 2007.12.21 |
