본문 바로가기

Analysis/유포지 정보

악성유포제품 - 파일을 미끼로 유인후 설치되는 유형 - 2007.09.04-2

악성유포제품 - 파일을 미끼로 유인후 설치되는 유형 - 2007.09.04-2

1> Uware ==> 특정글로 유인후 설치되는 안티스파이웨어 제품 - 2종이상의 애드웨어를 설치함

설치 URL  : http://up1.you-ware.com/Cab/ActX/AKPartner/KPActX.cab

특정글로 유인후 설치되는 안티스파이웨어 제품 - 2종이상의 애드웨어를 설치함

<설치목록>

1> Uware  --> 안티스파이웨어 제품 <특정글로 유인후 설치된다.>
2> 곰 특수문자 0.1 <프레앙 P2P / Radiostar / 패치 업(Patch up) /  등 홍보용 애드웨어>
3> Opti_Regi   -->  특정애드웨어 설치자  <추가삭제에 등록안됨 .. 수동삭제하여야함>

<설치폴더>

c:\Program Files\Uware
c:\Program Files\Opti_Regi   -->  특정애드웨어 설치자
c:\Program Files\곰 특수문자
c:\WINDOWS\system32  --> uninstalluware.exe
c:\WINDOWS\Downloaded Program Files  -->  KPActX Control

시작프로그램에 아래항목을 등록한다.

[gomcharacterUpdater] C:\Program Files\곰 특수문자\gomcharacterUpdater.exe AutoRun
[Opti_Regi] C:\Program Files\Opti_Regi\Opti_Regi.exe b   -->  특정애드웨어 설치자
[Uware] C:\Program Files\Uware\uwareupdate.exe

<제작사정보>

- 사이트목록 :
http://nanumcenter.com/
http://you-ware.com

<유포유형>

1> 특정글로 유인후 개인홈 / 블로그 방문에 ActiveX 달아 설치한다.
2> 제작사 홈에선 설치파일로 배포중이다.

<유포사례>

1> 특정게임 립버전 다운로드라는 글로 유인후 설치를 한다. <2007.09.04>
http://fantasy-actuality.tistory.com/67
<진단상황>

1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어 / 진단 - 치료 가능
 - Uware --> Win-Downloader/Rogue.Uware / Win-Adware/Rogue.Uware
 - Opti_Regi --> Win-Adware/Rogue.OptiRegi
 - 곰 특수문자 -->  Win-Adware/GomChar.36864

2>window cashplus

<설치정보>

특정글에 유인후 설치되는 sakuracash 의 다른이름

<설치폴더>

c:\Program Files\cashplus
 cashplus.dll
 cashplus.exe
 cashplusinst.dll
 cashplusno.dat
 cashplusok.dat
 getinfo.dll
 License.txt
 uninstall.exe
c:\WINDOWS\Downloaded Program Files --> AtlCtrl Class
c:\WINDOWS\system32   --> cashplusinst.dll

윈도우 익스플로어 추가기능관리(BHO) 에 아래항목을 등록한다.

CashPlus -  C:\Program Files\cashplus\cashplus.dll
(AtlCtrl Class) - http://www.cashplus.kr/cashback/download/cashplusinst.cab

시작프로그램에 아래항목을 등록한다.

[cashplus] "C:\Program Files\cashplus\cashplus.exe" /start

<사이트목록 / 제작사정보>

http://sakuracash.co.kr
http://www.cashbackplus.co.kr
http://www.cashplus.kr

<유포사례>

1> 특정게임 립버전 다운로드라는 글로 유인후 설치를 한다. <2007.09.04>
http://fantasy-actuality.tistory.com/67
2> 특정 공유사이트 방문시 Active X 설치된다.
--> OS에 따라 보안팝업으로 통보되거나 동의 없이 설치된다. <2007.09.04>