본문 바로가기

Analysis/유포 프로그램

유포되고 있는 Adware/Rogue - vaccine7


등록일 : 2007.10.05
수정일 : 2007.10.15

<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
숨김메시지 : 정보 공유 공유 공유 - 복사방지 :되어 있습니다. 무단 펌 사절
보안제품 파일 다운로드 는 미제공 . 제작사 다운로드 링크만 제공
이곳은 부정클릭 차단 기능이 적용되어 있습니다. 무단 클릭 사절
유포되고 있는 프로그램 - vaccine7 과 동반 설치되는 정보
--> 관련 정보 : 안티바이러스제품이 진단하였다고 무조건 삭제해야 하는가?

<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15

<진단 정보>
--> 진단 정보 일부는 다를 수 있습니다.
--> 모든 진단내역을 입력한 것이 아님.

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum
/ 빛자루의 안티스파이웨어 기능

-->
<2007.10.15>안철수 연구소 진단명은 뒤부분 삭제

Win-Downloader/AdImageware.28672  --> 1> Uninstall AdImageware
Win-Downloader/Rogue.Vaccine7.  --> 2> vaccine7
Win-Adware/Rogue.Vaccine7.  --> 2> vaccine7
Win-Dropper/BHO.Ccustrad.2916044  -->3> barsetup.exe
Win-Downloader/Ccustrad.57344   --> 3> ccustrad.dll / sheleneju.exe
Win-Adware/BHO.Ccustrad.28672 --> 3> cctruninstall.exe / cctrinstall.exe
Win-Adware/ToolBar.Esearch.  4> EsearchGuide - Korea
Win-Adware/KWSGuide.  --> 6> KWSGuide (Ver. 1102)
Win-Adware/nShop   --> 7> 포인트 리워드
Win-Dropper/WebSite.      --> 8> WebSite
Win-Downloader/WebSite.  --> 8> WebSite
Win-Downloader/ToolBar.CashOn.  --> 9> Windows Driver for Cashontool
Win-Adware/ToolBar.Cashon.  --> 9> Windows Driver for Cashontool
Win-Downloader/ToolBar.CashOn. --> 9> Windows Driver for Cashontool
Win-Downloader/WebProtect.158720 --> 10> Windows-WebProtect
Win-Spyware/SLimit.   --> 10> Windows-WebProtect
Win-Dropper/Comif.45056 --> kolonga.exe

 네이버 툴바  <2007.10.5>

Adware/Vaccine7  --> 2> vaccine7
Adware/Esearch  --> 4> EsearchGuide - Korea
Adware/KWSGuide   --> 6> KWSGuide (Ver. 1102)
Grayware/nShopReward   --> 7> 포인트 리워드
Adware/WebSite   --> 8> WebSite
Adware/CashOn.ncservice  --> 9> Windows Driver for Cashontool
Adware/Toolbar.CashOn --> 9> Windows Driver for Cashontool
Adware/SiteLimit <일부만 진단>  -->10> Windows-WebProtect
not-a-virus:AdWare.Win32.CashOn.f <카스퍼스키 진단명>
Trojan-Downloader.Win32.Agent.det  <카스퍼스키 진단명>
Trojan.Win32.BHO.hd  <카스퍼스키 진단명>

 하우리 바이로봇
<2007.10.5>

Adware.V7.R  --> 2> vaccine7
Adware.Esearch.To  --> 4> EsearchGuide - Korea
Adware.KWSGuide  --> 6> KWSGuide (Ver. 1102)
Adware.nSopReword  --> 7> 포인트 리워드
Adware.Website     --> 8> WebSite
Adware.CashON.To  --> 9> Windows Driver for Cashontool
Adware.Slimit <일부만 진단>  --> 10> Windows-WebProtect
Adware.Yogrise  --> sheleneju.exe
Trojan.Win32.Downlosder.57344.AD --> sheleneju.exe

 바이러스체이서
<2007.10.5>

Trojan.Downloader.32634  -->
NCUP10032226.exe / NCUP.exe
Adware.Cachon.20 ~ 28  --> Windows Driver for Cashontool
Trojan.Daum --> cctrinstall.exe / cctruninstall.exe

<유포사례>

1> 2007-10-03 특정글로 유인후 우측하단에 팝업을 통해 설치
--> http://fantasy-actuality.tistory.com/98


<설치목록><2007.10.3>

1> Uninstall AdImageware
-->광고 프로그램

c:\Documents and Settings\<사용자 계정>\Templates
 SetupAdImage.exe
c:\Program Files\AdImageware
 AdImageware.exe
 UpdateAdImageware.exe
c:\WINDOWS\system32  -->UninstallAdImageware.exe

시작프로그램에 아래항목을 등록

[UpdateAdImageware] "C:\Program Files\AdImageware\UpdateAdImageware.exe"

2> vaccine7
--> 제작사에서 제공하는 삭제툴 : http://vaccine7.com/pc/vaccine7uninstall.exe


c:\Documents and Settings\<사용자 계정>\바탕 화면
 백신7.lnk
c:\Documents and Settings\<사용자 계정>\시작 메뉴\프로그램\vaccine7
 백신7 삭제.lnk /  백신7 실행.lnk / 백신7 업데이트.lnk
c:\Program Files\vaccine7
 dbadup1.exe / dbup1.exe / log.txt / pop.dat /  vaccine7.dll / vaccine7.exe
 vaccine7uninstall.exe / vaccine7update.exe
c:\Program Files\vaccine7\data
 dbadup1.exe / dbadup2.exe / dbup1.exe / updatelist.dat

시작프로그램에 아래항목 등록

[vaccine7] C:\Program Files\vaccine7\vaccine7.exe hidden

3> IE Address Toy Beta 1.1
--> 광고용 툴바  : 비주얼 런타임모듈이 있어야 동작

c:\WINDOWS\system32  
 piterbm.exe / netpros.exe / rorabac.rbb / cctruninstall.exe  / COMDLG32.OCX  / MSCOMCTL.OCX 
/ tediamav.ini  /  vbar332.dll / vbbho.tlb  /
 barsetup.exe   --> Win-Dropper/BHO.Ccustrad.2916044
 ccustrad.dll  --> Trojan.Win32.BHO.hd <네이버 툴바 / 카스퍼스키> Win-Downloader/Ccustrad.57344
 sheleneju.exe  --> Trojan-Downloader.Win32.VB.blg <네이버툴바 / 카스퍼스키>
 
 cctrinstall.exe
  --> piterbm.exe / netpros.exe / rorabac.rbb / sheleneju.exe 을 다운로드한다.


윈도우 익스플로어 추가기능관리에 아래항목을 등록
--> ccustrad.Trading - C:\WINDOWS\system32\ccustrad.dll

4> EsearchGuide - Korea

c:\Program Files\Esearch
 BNKeyword.dll / BNKeyword2.dll /  Esearch.exe / EsearchUnInstall.exe

시작프로그램에 아래항목을 등록

[Esearch.exe] C:\Program Files\Esearch\Esearch.exe

5> ESearchToolbar

c:\Program Files\ESearchToolbar  
 ESearchToolbar.dll
 ESearchToolbarUnInstall.exe

익스플로어 추가기능 관리  아래항목을 등록

EzToolbarHelper Class - c:\Program Files\ESearchToolbar\ESearchToolbar.dll
이서치툴바 - c:\Program Files\ESearchToolbar\ESearchToolbar.dll


6> KWSGuide (Ver. 1102)
--> 제작사에서 제공하는 삭제툴 : http://www.kwsguide.com/program/KWSGuideUninst.exe

c:\Program Files\KWSSolution  
 KWSGuide.dll /  KWSGuide.exe /  KWSGuideUninst.exe /  KWSGuideUpt.exe
c:\WINDOWS\2007  
 d1.dat /  d2.dat / idata /  Instlog /  udata / 등
c:\WINDOWS\Downloaded Program Files --> InstallerX Control
c:\WINDOWS  --> msado15.dll
c:\WINDOWS\system32
--> KWS_MDL.exe  / KWSGSolution.ocx  / kwsguide_set.exe

시작프로그램에 아래항목을 등록

[KWSGuide] C:\Program Files\KWSSolution\KWSGuide.exe
[KWSGuide_SET] C:\WINDOWS\system32\kwsguide_set.exe

7> 포인트 리워드

c:\Program Files\nShopReward
 nShopReward.dll
 nShopRewardUnInstall.exe

익스플로어 추가기능관리 에 아래항목을 등록

PointReward Class - c:\Program Files\nShopReward\nShopReward.dll

8> WebSite

c:\Program Files\WebSite
 WebSite.dll /  WebSite.exe /  WebSiteUnInstall.exe / WebSiteUpdate.exe

시작프로그램에 아래항목을 등록

[WebSite] C:\Program Files\WebSite\WebSite.exe

9> Windows Driver for Cashontool
--> 제작사에서 제공하는 삭제툴 : http://www.cashon.co.kr/app/cashonband/bin/uninToolbar.exe

c:\Documents and Settings\<사용자 계정>\Favorites
 인터넷영화관 벅스무비.url
c:\Documents and Settings\<사용자 계정>\Favorites\감각의 속도가 다른 d&shop
 d&shop.url
 MP3-NAVI Shop.url
 가구-침구.url
 공동구매.url
 도서 다음캐쉬 적립.url
 디카샵.url
 명품관.url
 미용-다이어트-건강.url
 보석-시계.url
 신발-가방-소품.url
 영상-음향-통신가전.url
 오픈마켓.url
 유아-아동.url 아
 의류-속옷.url
 자동차-레저-취미.url
 컴퓨터-게임.url
 해외구매대행.url
 화장품-향수.url
c:\Documents and Settings\<사용자 계정>\Favorites\쇼핑
 CJ몰.url
 GS홈쇼핑.url
 Hmall.url
 네이트몰.url
 농수산홈쇼핑.url
 다음온켓.url
 동대문닷컴.url
 디앤샵.url
 신세계몰.url
 엠플.url
 옥션.url
 우리홈쇼핑.url
 우체국쇼핑.url
 이마트.url
 인터파크.url
 제로마켓.url
 지마켓.url
 체리야.url
c:\Program Files\CashOn  --> file.cfg
c:\Program Files\CashOn\bin
 CashOnUpdate10032226.exe   --> Win-Downloader/ToolBar.CashOn.240128
 NCBar10032226.dll /  ncbnd10032226.dll / ncButton10032226.dll
 uninToolbar.exe
c:\Program Files\CashOn\data
 background.dsk /  cpc.dat /  cps.dat /  cpsmust.dat /  cpspass.dat
 favorite.fav / popup.dat
c:\Program Files\CashOn\icons
 ico_y79.Ico / TotalIcon.dll

윈도우 익스플로어 추가기능관리(BHO)에 아래 항목을 등록한다.

 CashOn - c:\Program Files\CashOn\bin\NCButton.dll

시작프로그램에 아래항목을 등록한다.

 [Cashonupdate] C:\Program Files\CashOn\bin\CashOnUpdate.exe

10> Windows-WebProtect
--> 다른이름 : Windows-site security (KS82381) / 유해사이트차단
--> 제작사 사이트 : www.okinternet.co.kr

c:\Documents and Settings\<사용자 계정>\Templates
 IHUpd.exe
c:\Documents and Settings\<사용자 계정>\시작 메뉴\프로그램\유해사이트차단
 유해사이트차단.lnk
c:\Program Files\webprotect
 IEHK.dll / IHUK.cfg / IHuk.exe  /  IHUpd.exe /  sitelimit.cfg / sitelimit.exe 
 wpupd.exe  --> Trojan-Downloader.Win32.Agent.det
c:\WINDOWS\system32
--> SiteDB.dll /  SiteDB_SW.dll / SiteProt.dll / ProtHK.dl_ / ProtMng.ex_ / ProtUtil.exe
/ wpuninstall.exe --> Trojan-Downloader.Win32.Agent.det <네이버 툴바 / 카스퍼스키>

시작프로그램에 아래항목을 등록한다.

RunOnce: [AA] C:\WINDOWS\system32\ProtUtil.exe  -upd
[IHUK] C:\Program Files\webprotect\IHUpd.exe -update
[WebProtect] C:\WINDOWS\system32\ProtMng.exe


<유포 당시 다운로드 되는 기타 파일>

c:\Documents and Settings\j\Local Settings\Temporary Internet Files
 dbup1.exe --> not-a-virus:AdWare.Win32.CashOn.f
 dbup2.exe
 dbadup2.exe
 NCUP.exe -->
Trojan.Downloader.32634 <바이러스 체이서>
 uninToolbar.exe  --> not-a-virus:AdWare.Win32.CashOn.f
 vaccine7.exe
 vaccine7uninstall.exe
 vaccine7update.exe
 CashOnUpdate.exe  --> not-a-virus:AdWare.Win32.CashOn.f

c:\WINDOWS\Downloaded Program Files --> v7actApp Control
c:\WINDOWS\system32
  NCUP10032226.exe   --> Win-Downloader/ToolBar.CashOn.243712 <안철수 연구소>
 
c:\WINDOWS\Temp kolonga.exe --> Win-Dropper/Comif.45056
 
사용자 삽입 이미지