특정블러그 / 까페 에 방문하면 허위정보를 제공후, 설치를 유도하는 사례.
특정 사운드 검색프로그램 또는 동영상 뷰어라고 알려주고 설치를 유도한 후 , 특정사이트 바로가기 / 광고용 툴바 생성.
<형식적인 동의/몰래설치 - 번들 설치에 대한 논란 부분>
1>특정페이지 방문시 ACTIVE X 를 통한 설치
--> 이것은 동의창이 아니므로 무단설치에 해당.
--> 단, 해당페이지가 원래 해당툴에 대한 설치페이지일 경우 제외된다.
--> 전혀 관계 없는 페이지에서의 설치.
2>업데이트 창을 통해 선택창만 제공하고 프로그램에 대한 별도 정보 및 별도의 동의를 구하지않을 경우로 클릭을 유도하는 것과 다를게 없습니다.
<일부보안사 해명>
--> 아래와 같이 특정글로 유인후 설치되지만 ACTIVE X 보안팝업이 뜨기 때문에 사용자 선택이 가능하다고 한다.
정말 웃기지 않는가?
--> ACTIVE X 보안팝업은 특정프로그램 또는 사용자의 XP 보안설정여부에 따라 팝업자체가 안뜨고 설치될 수 있다.
--> ACTIVE X가 문제되고 현제 악성배포의 경로가 되고 있는 이유가 보안설정에 따라 팝업자체가 안뜰 수있기 때문에 악용되고 있다
<설치정보>
- 광고용 애드웨어 - 즐겨찾기/바탕화면에 특정사이트 바로가기 생성
- 주소 입력줄에 " 주소창에서 검색이 가능해졌어요! " 맨트 생성
게임팡.url / 룰루게임.url / 아이템매니아.url
c:\Documents and Settings\<사용자 계정>\Favorites\쇼핑
G마켓.url / 옥션.url / 인터파크.url
c:\Documents and Settings\<사용자 계정>\바탕 화면
G마켓.lnk / 옥션.lnk
c:\Program Files\Internet Explorer\Connection Wizard
IEsnfC.exe / NTQSI.dll
c:\WINDOWS\Downloaded Program Files --> Auto Search Control
c:\WINDOWS\system32
al.ini / auction.ico / gmarket.ico / IEsnfAL.dll
윈도우 익스플로어 추가기능 관리
Favorite Class - C:\WINDOWS\system32\IEsnfAL.dll
시작프로그램에 아래 항목 등록
[IEsnfC] C:\Program Files\Internet Explorer\Connection Wizard\IEsnfC.exe
<삭제 정보><해당 삭제방법으론 레지스터리 흔적 값은 남게 됩니다.>
<레지스터리 삽입값은 공개하지 않는 이유는 잘못된 삭제로 인한 2차적인 오류가 수반될 수 있기 때문입니다.>
--> 직접 삭제하실 때 참고사항
1> 보안제품에서 진단하는 경우 잠시 실시간 감시를 해제한다.
--> 단, 보안제품으로 삭제하지 않고 그레이제로 / 제어판 - 추가삭제에서 삭제할 경우 해당.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2>브라우져 추가기능 관리에 등록된 항목 BHO에 등록 항목을 죽여야 한다.
--> Favorite Class - C:\WINDOWS\system32\IEsnfAL.dll
HijackThis 라는 프로그램을 사용하여 해당프로세스를 죽인다. 해당툴은 아래링크에서 다운로드가능하다.
--> http://www.trendsecure.com/portal/en-US/threat_analytics/quick_start_guide.php
3> 삭제후 설치폴더 및 시작프로그램 등록 내용을 확인하여 관련항목을 삭제한다.
<하이젝디스 사용법>
HijackThis 를 더블클릭하여 실행후 do a system scan only 클릭하면 검색값이
나옵니다. 검색값은 컴에 사용되거나 메모리에 상주한 툴 / 시작프로그램 / 등에
등록된 값들이 표시됩니다.
검색값중 삭제하고자 하는 툴에 의해 삽입된 항목을 선택후 Fix checked 하시면
됩니다.
--> 주의 사항 <--
--> 사용자의 실수로 잘못 Fix checked 시면 사용자의 책임입니다.
--> HijackThis 사용시에도 잘못 삭제후 HijackThis 때문에 문제가 생겻다는 분들이
--> 계신데 자신이 잘못사용한 것이 아닌지 확인하십시오.
<사례2> 특정 뉴스 / 연예인 관련글로 유인후 설치
'Analysis > 유포지 정보' 카테고리의 다른 글
| 19금 제목관련으로 유인후 설치 2007-10-01 (0) | 2007.10.04 |
|---|---|
| 특정웹 방문시 vaccine7 과 동반설치되는 애드웨어 2007-09-27 (0) | 2007.10.04 |
| 동영상페이지를 보여주고 설치유도하는 사례 2007-09-19/10-08 (0) | 2007.10.04 |
| 동영상페이지로 오인하게 하여 설치되는 사례-2007-09-15 (0) | 2007.10.04 |
| 특정글로 방문을 유도후 설치되는 안티스파이웨제품 - PCDOC (1) | 2007.10.04 |
