본문 바로가기

Analysis/유포 프로그램

유포되고 있는 Adware/Rogue - SPY캐치 과 Trojan-Downloader.Win32.Small.ftx

Adware/Rogue - SPY캐치 과 Trojan-Downloader.Win32.Small.ftx

입력일 : <2007.11.14>

해당 Adware 가 설치되면, 1종이상의 Adware 를 사용자 동의 없이 설치한다.
또한 해당 업체 사이트에 방문해보면, 이상한 점이 있다..

로그인 창에 입력해야 하는 것이 좀 수상 스럽다는 것..


사용자 삽입 이미지


아이디란엔  주민번호 앞자리를..
비밀번호 란엔 주민번호 뒷자리를
입력하도록 되어 있다.

고객센터 문의등 모든 것을 로그인통해서 하도록 제한하고 있다.






숨김메시지 : 정보 공유 공유 공유 - 복사방지 :되어 있습니다. 무단 펌 사절
보안제품 파일 다운로드 는 미제공 . 제작사 다운로드 링크만 제공
이곳은 부정클릭 차단 기능이 적용되어 있습니다. 무단 클릭 사절
< 프로그램 ><2007.11.14>

사용자 삽입 이미지

<유포정보><2007.11.14>

사용자 삽입 이미지




사용자가 인지하지 못하도록 하기위함인지..

화면 우측하단에 작은
팝업을 통해 설치코드가 삽입된 페이지를 쉽게 보지 못하도록 하고 있다.




스파이캐치 스파이캐치 스파이캐치 스파이 캐치 스파이 캐치: 복사방지 확인창
무단으로 퍼가는 분들 없기를
<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.


그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23


<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15

( 주의 사항 )

- 핸드폰 자동연장결제를 한 경우 별도 해지요청이 없을 시엔 2년 청구.
- 자동연장결제는 3개월의 의무 사용기간 있음.

<진단상황><2007.11.14>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Adware/Rogue.SpyCatch.862720
Win-Downloader/Rogue.SpyCatch.626688
uxdgjnqtwc.exe   Win-Downloader/Spycatch.24576
install_scatch_h.exe   Win-Downloader/Rogue.SpyCatch.329216
tosfes.exe    Win-Downloader/DocQ.281600     <2007.11.21>

2> 네이버 툴바 / 카스퍼스키 제품 ( kaspersky )

uxdgjnqtwc.exe   Trojan-Downloader.Win32.Small.ftx

3> 하우리 바이로봇

Adware.SCatch.R
uxdgjnqtwc.exe   Adware.SCatch.R.329216
install_scatch_h.exe   Adware.SCatch.R.24576

4> 바이러스 체이서

uxdgjnqtwc.exe   Adware.Catcher
dataon.exe    Trojan.DownLoader.36461

5> 알약 1.0 beta ( 알톨즈 시리즈 )

uxdgjnqtwc.exe   Trojan.Generic.69445



<설치정보><2007.11.14>

설치 Url : {BA2E0201-6109-4408-A089-C9BDA8C7F38C}
(scatch Control) - hxxp://update.spycatch.kr/activex/scatchP.cab

제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> SPY캐치 삭제

시작프로그램에 아래항목 등록

[scatch] C:\Program Files\scatch\scatchup.exe hide
[uxdgjnqtwc] C:\WINDOWS\system32\uxdgjnqtwc.exe
[docq] C:\Program Files\Common Files\System\dataon.exe

<설치폴더><2007.11.14>

c:\Documents and Settings\계정\바탕 화면

SPY캐치.lnk 2007-11-14 01:41.54 1,542
c:\Documents and Settings\계정\시작 메뉴\프로그램\scatch

SPY캐치 삭제.lnk 2007-11-14 01:41.54 738

SPY캐치.lnk 2007-11-14 01:41.54 1,554
c:\Program Files\Common Files\System

dataon.exe 2003-06-09 10:05.30 319,488
c:\Program Files\scatch

config.ini 2007-11-14 01:43.25 833

filecheck.ini 2007-09-01 17:24.10 490

midas.dll 2002-06-09 23:00.00 296,448

ntfile.ini 2007-11-14 01:42.03 768

scatch.exe 2007-09-19 12:13.10 862,720

scatchup.exe 2007-09-05 10:12.34 351,744

uninstall_scatch.exe 2007-09-05 16:44.08 303,616
c:\Program Files\scatch\image

abar.gif 2006-10-05 16:31.22 69,613

alram.gif 2007-09-01 11:43.12 8,903

bbar.gif 2006-10-01 12:17.30 9,748

box.gif 2006-10-05 15:15.06 3,306

box2.gif 2006-10-01 17:23.50 53,350

box3.gif 2006-10-01 17:23.40 7,103

box4.gif 2007-08-20 14:58.16 27,693

box5.gif 2006-10-01 17:23.30 43,036

box5_off.gif 2007-08-20 14:58.16 30,570

box5_on.gif 2006-10-01 17:23.18 30,295

box6.gif 2007-08-27 16:55.32 15,730

box7.gif 2007-08-27 16:57.02 18,286

box8.gif 2006-10-01 17:22.58 8,665

box9.gif 2006-10-01 17:22.54 34,103

button.gif 2006-10-01 17:22.44 8,829

download.gif 2007-09-01 11:36.04 9,281

icon.gif 2006-10-01 17:22.04 272

icon2.gif 2006-10-01 17:22.38 1,094

icon3.gif 2006-10-01 17:22.32 1,095

icon4.gif 2006-10-01 17:22.26 1,071

icon5.gif 2006-10-01 17:22.20 1,106

icon6.gif 2006-10-01 17:22.14 1,008

icon7.gif 2006-10-01 17:22.10 940

icon8.gif 2006-10-05 14:33.42 74

icon_2.gif 2006-10-01 17:21.56 272

left_btn_1.gif 2007-08-27 15:30.04 2,724

left_btn_2.gif 2007-08-27 15:41.34 2,587

left_btn_3.gif 2007-08-27 15:41.52 2,722

left_btn_4.gif 2007-08-27 15:42.08 2,819

left_btn_5.gif 2007-08-27 15:42.22 2,510

left_btn_6.gif 2007-08-27 15:43.22 2,722

left_btn_7.gif 2007-08-27 17:07.26 2,745

left_btn_8.gif 2006-09-30 17:22.16 1,449

left_btn_on_1.gif 2007-08-27 16:13.30 2,628

left_btn_on_2.gif 2007-08-27 16:13.46 2,514

left_btn_on_3.gif 2007-08-27 16:14.06 2,624

left_btn_on_4.gif 2007-08-27 16:38.50 2,684

left_btn_on_5.gif 2007-08-27 16:39.08 2,397

left_btn_on_6.gif 2007-08-27 16:39.22 2,625

left_btn_on_7.gif 2007-08-27 17:07.58 2,632

left_btn_on_8.gif 2006-09-30 17:24.08 1,392

loding.gif 2007-09-01 11:17.40 12,763

main.gif 2007-08-28 12:47.12 26,628

main2.gif 2006-10-01 17:21.50 23,421

messageok.gif 2007-09-01 11:53.42 9,593

messageyes_or_no.gif 2007-09-01 11:59.20 9,696

pass.gif 2007-09-01 11:46.46 9,412

spycatch16_1.ico 2007-08-28 11:39.24 1,406

spycatch16_2.ico 2007-08-28 11:39.38 1,406

spycatch16_3.ico 2007-08-28 11:39.54 1,406

spycatch32.ico 2007-08-28 11:40.10 4,286

spycatch32un.ico 2007-08-28 11:40.24 4,286

sysdown.gif 2007-09-01 11:29.22 10,422

Thumbs.db 2007-09-01 17:24.22 191,488

time.gif 2006-10-01 17:21.34 5,117
c:\Program Files\scatch\value

wac.da 2006-09-14 14:46.30 8,812

wcode.da 2007-09-15 14:23.28 5,135,394

wurl.da 2007-01-13 18:01.26 127,834
c:\WINDOWS\Downloaded Program Files

scatch Control 2007-10-05 16:38.28
c:\WINDOWS\system32

install_scatch_h.exe 2007-11-14 01:41.48 329,216

tosfes.exe 2007-11-14 01:41.58 281,600

uxdgjnqtwc.exe 2007-10-23 18:39.02 24,576

<추가 정보>



uxdgjnqtwc.exe - SPY캐치 를 다운로드 하고 설치하는 Trojan.DownLoader
install_scatch_h.exe - SPY캐치 를 다운로드 하고 설치하는 Trojan.DownLoader

tosfes.exe
  - Windows DocQ 2.0 를 다운로드 하고 설치하는 Trojan.DownLoader
dataon.exe  - Windows DocQ 2.0 를 다운로드 하고 설치하는 Trojan.DownLoader


Windows DocQ 2.0  : http://fantasy-actuality.tistory.com/171