등록일 : 2007.10.05
수정일 : 2007.10.15
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
숨김메시지 : 정보 공유 공유 공유 - 복사방지 :되어 있습니다. 무단 펌 사절
보안제품 파일 다운로드 는 미제공 . 제작사 다운로드 링크만 제공
이곳은 부정클릭 차단 기능이 적용되어 있습니다. 무단 클릭 사절
유포되고 있는 프로그램 - vaccine7 과 동반 설치되는 정보
--> 관련 정보 : 안티바이러스제품이 진단하였다고 무조건 삭제해야 하는가?
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<진단 정보>
--> 진단 정보 일부는 다를 수 있습니다.
--> 모든 진단내역을 입력한 것이 아님.
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum
/ 빛자루의 안티스파이웨어 기능
-->
Win-Dropper/BHO.Ccustrad.2916044 -->3> barsetup.exe
Win-Downloader/Ccustrad.57344 --> 3> ccustrad.dll / sheleneju.exe
Win-Adware/BHO.Ccustrad.28672 --> 3> cctruninstall.exe / cctrinstall.exe
Win-Downloader/WebProtect.158720 --> 10> Windows-WebProtect
Win-Dropper/Comif.45056 --> kolonga.exe
Trojan-Downloader.Win32.Agent.det <카스퍼스키 진단명>
Trojan.Win32.BHO.hd <카스퍼스키 진단명>
하우리 바이로봇
Trojan.Win32.Downlosder.57344.AD --> sheleneju.exe
바이러스체이서
Trojan.Downloader.32634 -->
Trojan.Daum --> cctrinstall.exe / cctruninstall.exe
<유포사례>
1> 2007-10-03 특정글로 유인후 우측하단에 팝업을 통해 설치
--> http://fantasy-actuality.tistory.com/98
<설치목록><2007.10.3>
1> Uninstall AdImageware
-->광고 프로그램
c:\Documents and Settings\<사용자 계정>\Templates
SetupAdImage.exe
c:\Program Files\AdImageware
AdImageware.exe
UpdateAdImageware.exe
c:\WINDOWS\system32 -->UninstallAdImageware.exe
시작프로그램에 아래항목을 등록
[UpdateAdImageware] "C:\Program Files\AdImageware\UpdateAdImageware.exe"
2> vaccine7
--> 제작사에서 제공하는 삭제툴 : http://vaccine7.com/pc/vaccine7uninstall.exe
c:\Documents and Settings\<사용자 계정>\바탕 화면
백신7.lnk
c:\Documents and Settings\<사용자 계정>\시작 메뉴\프로그램\vaccine7
백신7 삭제.lnk / 백신7 실행.lnk / 백신7 업데이트.lnk
c:\Program Files\vaccine7
dbadup1.exe / dbup1.exe / log.txt / pop.dat / vaccine7.dll / vaccine7.exe
vaccine7uninstall.exe / vaccine7update.exe
c:\Program Files\vaccine7\data
dbadup1.exe / dbadup2.exe / dbup1.exe / updatelist.dat
시작프로그램에 아래항목 등록
[vaccine7] C:\Program Files\vaccine7\vaccine7.exe hidden
3> IE Address Toy Beta 1.1
--> 광고용 툴바 : 비주얼 런타임모듈이 있어야 동작
c:\WINDOWS\system32
piterbm.exe / netpros.exe / rorabac.rbb / cctruninstall.exe / COMDLG32.OCX / MSCOMCTL.OCX
/ tediamav.ini / vbar332.dll / vbbho.tlb /
barsetup.exe --> Win-Dropper/BHO.Ccustrad.2916044
ccustrad.dll --> Trojan.Win32.BHO.hd <네이버 툴바 / 카스퍼스키> Win-Downloader/Ccustrad.57344
sheleneju.exe --> Trojan-Downloader.Win32.VB.blg <네이버툴바 / 카스퍼스키>
cctrinstall.exe --> piterbm.exe / netpros.exe / rorabac.rbb / sheleneju.exe 을 다운로드한다.
윈도우 익스플로어 추가기능관리에 아래항목을 등록
--> ccustrad.Trading - C:\WINDOWS\system32\ccustrad.dll
4> EsearchGuide - Korea
c:\Program Files\Esearch
BNKeyword.dll / BNKeyword2.dll / Esearch.exe / EsearchUnInstall.exe
시작프로그램에 아래항목을 등록
[Esearch.exe] C:\Program Files\Esearch\Esearch.exe
5> ESearchToolbar
c:\Program Files\ESearchToolbar
ESearchToolbar.dll
ESearchToolbarUnInstall.exe
익스플로어 추가기능 관리
EzToolbarHelper Class - c:\Program Files\ESearchToolbar\ESearchToolbar.dll
이서치툴바 - c:\Program Files\ESearchToolbar\ESearchToolbar.dll
6> KWSGuide (Ver. 1102)
--> 제작사에서 제공하는 삭제툴 : http://www.kwsguide.com/program/KWSGuideUninst.exe
c:\Program Files\KWSSolution
KWSGuide.dll / KWSGuide.exe / KWSGuideUninst.exe / KWSGuideUpt.exe
c:\WINDOWS\2007
d1.dat / d2.dat / idata / Instlog / udata / 등
c:\WINDOWS\Downloaded Program Files --> InstallerX Control
c:\WINDOWS --> msado15.dll
c:\WINDOWS\system32
--> KWS_MDL.exe / KWSGSolution.ocx / kwsguide_set.exe
시작프로그램에 아래항목을 등록
[KWSGuide] C:\Program Files\KWSSolution\KWSGuide.exe
[KWSGuide_SET] C:\WINDOWS\system32\kwsguide_set.exe
7> 포인트 리워드
c:\Program Files\nShopReward
nShopReward.dll
nShopRewardUnInstall.exe
익스플로어 추가기능관리
PointReward Class - c:\Program Files\nShopReward\nShopReward.dll
8> WebSite
c:\Program Files\WebSite
WebSite.dll / WebSite.exe / WebSiteUnInstall.exe / WebSiteUpdate.exe
시작프로그램에 아래항목을 등록
[WebSite] C:\Program Files\WebSite\WebSite.exe
9> Windows Driver for Cashontool
--> 제작사에서 제공하는 삭제툴 : http://www.cashon.co.kr/app/cashonband/bin/uninToolbar.exe
c:\Documents and Settings\<사용자 계정>\Favorites
인터넷영화관 벅스무비.url
c:\Documents and Settings\<사용자 계정>\Favorites\감각의 속도가 다른 d&shop
d&shop.url
MP3-NAVI Shop.url
가구-침구.url
공동구매.url
도서 다음캐쉬 적립.url
디카샵.url
명품관.url
미용-다이어트-건강.url
보석-시계.url
신발-가방-소품.url
영상-음향-통신가전.url
오픈마켓.url
유아-아동.url 아
의류-속옷.url
자동차-레저-취미.url
컴퓨터-게임.url
해외구매대행.url
화장품-향수.url
c:\Documents and Settings\<사용자 계정>\Favorites\쇼핑
CJ몰.url
GS홈쇼핑.url
Hmall.url
네이트몰.url
농수산홈쇼핑.url
다음온켓.url
동대문닷컴.url
디앤샵.url
신세계몰.url
엠플.url
옥션.url
우리홈쇼핑.url
우체국쇼핑.url
이마트.url
인터파크.url
제로마켓.url
지마켓.url
체리야.url
c:\Program Files\CashOn --> file.cfg
c:\Program Files\CashOn\bin
CashOnUpdate10032226.exe --> Win-Downloader/ToolBar.CashOn.240128
NCBar10032226.dll / ncbnd10032226.dll / ncButton10032226.dll
uninToolbar.exe
c:\Program Files\CashOn\data
background.dsk / cpc.dat / cps.dat / cpsmust.dat / cpspass.dat
favorite.fav / popup.dat
c:\Program Files\CashOn\icons
ico_y79.Ico / TotalIcon.dll
윈도우 익스플로어 추가기능관리(BHO)에 아래 항목을 등록한다.
CashOn - c:\Program Files\CashOn\bin\NCButton.dll
시작프로그램에 아래항목을 등록한다.
[Cashonupdate] C:\Program Files\CashOn\bin\CashOnUpdate.exe
10> Windows-WebProtect
--> 다른이름 : Windows-site security (KS82381) / 유해사이트차단
--> 제작사 사이트 : www.okinternet.co.kr
c:\Documents and Settings\<사용자 계정>\Templates
IHUpd.exe
c:\Documents and Settings\<사용자 계정>\시작 메뉴\프로그램\유해사이트차단
유해사이트차단.lnk
c:\Program Files\webprotect
IEHK.dll / IHUK.cfg / IHuk.exe / IHUpd.exe / sitelimit.cfg / sitelimit.exe
wpupd.exe --> Trojan-Downloader.Win32.Agent.det
c:\WINDOWS\system32
--> SiteDB.dll / SiteDB_SW.dll / SiteProt.dll / ProtHK.dl_ / ProtMng.ex_ / ProtUtil.exe
/ wpuninstall.exe --> Trojan-Downloader.Win32.Agent.det <네이버 툴바 / 카스퍼스키>
시작프로그램에 아래항목을 등록한다.
RunOnce: [AA] C:\WINDOWS\system32\ProtUtil.exe -upd
[IHUK] C:\Program Files\webprotect\IHUpd.exe -update
[WebProtect] C:\WINDOWS\system32\ProtMng.exe
<유포 당시 다운로드 되는 기타 파일>
c:\Documents and Settings\j\Local Settings\Temporary Internet Files
dbup1.exe --> not-a-virus:AdWare.Win32.CashOn.f
dbup2.exe
dbadup2.exe
NCUP.exe -->
vaccine7.exe
vaccine7uninstall.exe
vaccine7update.exe
CashOnUpdate.exe --> not-a-virus:AdWare.Win32.CashOn.f
c:\WINDOWS\Downloaded Program Files --> v7actApp Control
c:\WINDOWS\system32
NCUP10032226.exe --> Win-Downloader/ToolBar.CashOn.243712 <안철수 연구소>
'Analysis > 유포 프로그램' 카테고리의 다른 글
| 유포되고 있는 Adware - IED2 uninstall (0) | 2007.10.06 |
|---|---|
| 유포되고 있는 Adware - DoctorCode (0) | 2007.10.06 |
| 유포되고 있는 Adware/Rogue - CodeOut (0) | 2007.10.06 |
| MicroADSystem / KWSGuide / AD-Sweeper 설치정보 (0) | 2007.10.04 |
| 2007.09.08 -Windows IE Doumi / 나노애드 / MicroADSystem (0) | 2007.10.04 |
