본문 바로가기

Analysis/유포 프로그램

Windows Wow Toolbar에 의해 설치되는 - Adware/Rogue

Windows Wow Toolbar에 의해 설치되는 - Adware/Rogue

백신소프트웨어 2007

2007년 중순경 부터 유포하기 시작한 것으로 보입니다.

유포시작한지 얼마 안됨..

해당 프로그램을 제가 간략히 테스트한 결과..  국내보안사에 신고할 생각입니다.. 해당 보안제품을

해당 보안제품은 허위보안제품으로.. 아래와 같이 설치되며...

<참조링크><자동연장결제 피해시 대처 사항>
-->
http://fantasy-actuality.tistory.com/15


그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23


보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101

<설치폴더>

c:\Program Files\vaccinesoftware2007
c:\WINDOWS -- > vcsft2007_uninstaller.exe / vcsftwbm.exe
c:\WINDOWS\system32 --> vcsftw_9gn_vi.ini
c:\WINDOWS\system32\DirectX\tbstbla6  --> xba6xvtt.exe <애드웨어를 설치하는 설치자>

시작프로그램에 아래 항목을 생성한다.

[VaccineSoftware2007] C:\Program Files\vaccinesoftware2007\vcsft2007_starter.exe
[xba6xvtt] C:\WINDOWS\system32\DirectX\tbstbla6\xba6xvtt.exe < 재부팅후 살아진다.> 한번실행용으로 보임


xba6xvtt.exe <애드웨어를 설치하는 설치자> 는  아래와 같은 파일을 설치(다운로드) 또는 특정설치페이지에 접근합니다.

< 이내용을 모든내역이 아닌 일부>

1> Windows IE Address Security Component(KSVER0307) --> 허위보안제품 : 특정사이트 바로가기 생성자
2> 2종이상의 국내외 백신에서 TR/Spy.98304.A / Win-Trojan/Agent.98304.AJ / 등으로 진단되는 파일들을 다운로드합니다.
3> 와우툴바 < 와우툴바는 버전별로 이름이 상이하여 정확히 적지는 않겠습니다.
4> 백신 스파이웨어  --> 특정애드웨어 설치자 <사용자 동의 없음>

==============================================================================================================

4> 백신 스파이웨어 설치정보 <확인일 : 2007.08.26>
<증거및 설치폴더를 스샷햇으므로 해당제작사는 이의를 제기하지 마십시오>

아래 자료는 제가 테스트후 빛자루에 등록한 정보 내용입니다..
또한 아래 설치정보는 특정애드웨어 설치자로 명시된 부분은 국내외 보안제품에서 Trojan / spyware / 등으로 진단 됩니다.

<설치폴더><2007.08.26>

C:\Program Files\vaccinespyware
c:\Documents and Settings\<사용자 계정>\Local Settings\Temp --> VaccineSpywareHSetup.exe
c:\WINDOWS --> vaccinespyware_uninstaller.exe / vcspywbm.exe
c:\WINDOWS\system32 --> rcv_zip_cuw.ini
c:\WINDOWS\system32\mui\dispspec\xwxwppx33
--> 1wrxm3xmp.exe<특정 애드웨어 설치자><유포시점에 따라 폴더 / 파일명 변경됨>
c:\WINDOWS\system32\wins\kzoiu
-->  zknzk.exe <특정 애드웨어 설치자><유포시점에 따라 폴더 / 파일명 변경됨>
C:\WINDOWS\system32\1028\vtvt0l6l\
--> vbavb0ax.exe <특정 애드웨어 설치자><유포시점에 따라 폴더 / 파일명 변경됨>

시작프로그램에 아래항목을 등록한다.

[VaccineSpyware] C:\Program Files\vaccinespyware\vaccinespyware_starter.exe
[vbavb0ax] C:\WINDOWS\system32\1028\vtvt0l6l\vbavb0ax.exe
[1wrxm3xmp] C:\WINDOWS\system32\mui\dispspec\xwxwppx33\1wrxm3xmp.exe
[zknzk] C:\WINDOWS\system32\wins\kzoiu\zknzk.exe

<제작사 정보><증거자료를 가지고 있으므로 홈페이지 수정해도 의미가 없음을 유포 제작사에 밝힙니다.>

1> (주)이둘
2> 사이트목록< 목록은 더 존재하지만 홈페이지와 약관에 이둘로 명시된 것만을 목록에 제시합니다>
- Anti SpyWare Program  : http://antispywareprogram.co.kr/
- DoctorSpyware : http://doctorspyware.co.kr/
- 백신 스파이웨어 : http://vaccinespyware.co.kr/
- Windows IE Address Security Component
: http://clean-url.topsite.co.kr/
: 관련정보 : http://fantasy-actuality.tistory.com/100

<유포경로>

1> Windows Wow Toolbar 에 의해 사용자 동의 없이 설치된다.<2007.08.21>
2> 악성유포되고 있는 허위 보안제품에 의해 설치된다.
--> 백신소프트웨어 2007 에 의해 설치되는 사례 발견 <2007.08.26>