Adware/Rogue - 원닥터 / windoctor <2종이상의 애드웨어를 설치함>
입력일 : 2007.11.30
이 악성 프로그램에 대한 정보를 자세히 보기 바랍니다.. 이상한 부분이 보이것입니다..
제어판 - 추가삭제에는 원닥터 라고 등록됩니다..
그러나 프로그램에 적혀져 있는 프로그램 명은 그와 다릅니다 ..
바로 --> 윈닥터 ..
이유가 무엇일까요.. 오타일까요.. 아니면 다른 의도가 있는 것일까요..
네티즌끼리 해당 프로그램에 대한 정보를 공유하는 것을 막기 위한 것인지 ...
의문이 듭니다.
<설치하는 목록><유포시점에 따라 다를 수 있음><2007.11.29>
-- 아래 프로그램은 해당 페이지에서 정보 제공 --
1. 원닥터 < 2종이상의 애드웨어 설치자 / 허위보안제품>
2. WindowSystemInfo <시스템 정보 보기툴 -VB6.0 런타임이 있어야 동작>
3. About-Blank
-- 아래 프로그램은 따로 정보 제공 --
4. Internet Explorer storia Guide <광고툴바 / 검색툴바>
--> 주소줄 검색 가로채어 광고 노출
--> 참고링크 : http://fantasy-actuality.tistory.com/185
5. savemoneyshop <광고툴바 / 검색툴바>
--> 즐겨찾기 와 바탕화면에 다수의 사이트 링크 추가
--> 참고링크 : http://fantasy-actuality.tistory.com/187
6. 윈도우 서비스 프로레스 : servcproc
--> 참고링크 : http://fantasy-actuality.tistory.com/188
<유포링크><2007.11.29>
해당 유포링크에서 설치될 당시 별도의 동의창도 제공되지 않았으며,
바로 설치진행창으로 이동됩니다. 허위보안툴인 원닥터만 설치되는 것처럼 보이지만
사용자 몰래 다수의 설치자를 생성하고 설치합니다.
<해당프로그램><2007.11.29>
- 원닥터 <윈닥터 / Win-doctor>
설치되자마다 검사를 하더니 경고를 합니다..
2단계라고 표시되었네여.. 원인모를 ... 악성코드라구합니다.
그원인이 무엇일까요.. 포멧된 컴에 해당툴만 설치해도 이런 메시지를 보이는군요
- WindowSystemInfo
<결제시 주의사항>
자동연장결제방식을 사용하고 있으며,
결제정보 창에 자동연장결제에 대한 약관을 미제공하고 있음.
자동연장결제하면 얼마동안 결제
되는지 정보를 제공하고 있지
않으며, 사용자의 별도 해지요청 없을 시 매월 청구라고 명시를 하고 있다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<진단상황><2007.11.30>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
<상기 사항의 일부는 30일짜로 안철수연구소 엔진에 반영것임.>
servcproc.exe Win-Downloader/Hot24.264192
instsrv.exe Win-Adware/Rogue.SPack.180224
Win-Adware/Rogue.WinDoctor.726528
Win-Downloader/Rogue.WinDoctor.40960
wdp.exe Win-Adware/Rogue.WinDoctor.738816
jdnder.exe : Win-Trojan/Downloader.210944.B = 반영일 V3(2007.12.01.00)
2> 네이버툴바 <확인일 : 2007.12.03>
Adware/WinDoctor
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
(Windoctor Control) - hxxp://xxx.windoctor.co.kr/pgm/windoctor.cab
원닥터에 대한 제작사 제공 삭제파일 :
http://pdw.windoctor.co.kr/pgm/windoctorremover.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> 원닥터 <윈닥터 / Win-Doctor>
--> WindowSystemInfo <윈도우시스템인포>
--> About-Blank
시작프로그램에 아래항목 등록
[windoctor] C:\Program Files\windoctor\windoctor.exe
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
[WindowSystemInfo] C:\WINDOWS\system32\wininfoupdate.exe
[About-Blank] C:\WINDOWS\system32\AboutBlankUpdate.exe
<설치 레지스터리 일부><2007.11.29>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
{9694E4D6-1B0E-458C-8348-A295AC2E4977} REG_BINARY www.%s.about-blank.co.kr
HKEY_CURRENT_USER\Software\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\WindowSystemInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\About-Blank
HKEY_LOCAL_MACHINE\SOFTWARE\vspt
HKEY_LOCAL_MACHINE\SOFTWARE\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\jdnder
<설치 폴더 일부><2007.11.29>
< 추가정보 >
1> 원닥터< 윈닥터>가 설치되면 c:\Program Files\Common Files\wjdcom 폴더를
생성하고 jdnder.exe 을 생성하며, jdnder.exe 는 2종이상의 애드웨어를 다운로드하고
설치하는 악성 다운로더 이다. < 설치되는 목록은 일정하지 않은 것으로 보임>
2> 윈닥터 업데이트 모듈인 windoctorupdater.exe 파일은 jdnder.exe과 동일한 다운로더로 다른 애드웨어를 사용자 동의 없이 설치하는 설치자입니다.
3> wininfoupdate.exe 는 WindowSystemInfo 의 업데이트 모듈이 아래사이트에
접속하여 특정파일을 받아온다.
hxxp://uxpxtexhx.windowinfo.co.kr/xxxxxxx/php/update.php
4> AboutBlankUpdate.exe 는 About-Blank 의 업데이트 모듈로 아래 사이트에 접속하여
특정파일을 받아오도록 되어있지만.. 접속 되지 않았다.
hxxp://xxx.about-blank.co.kr/xxxxxxx/update.php
입력일 : 2007.11.30
이 악성 프로그램에 대한 정보를 자세히 보기 바랍니다.. 이상한 부분이 보이것입니다..
제어판 - 추가삭제에는 원닥터 라고 등록됩니다..
그러나 프로그램에 적혀져 있는 프로그램 명은 그와 다릅니다 ..
바로 --> 윈닥터 ..
이유가 무엇일까요.. 오타일까요.. 아니면 다른 의도가 있는 것일까요..
네티즌끼리 해당 프로그램에 대한 정보를 공유하는 것을 막기 위한 것인지 ...
의문이 듭니다.
<설치하는 목록><유포시점에 따라 다를 수 있음><2007.11.29>
-- 아래 프로그램은 해당 페이지에서 정보 제공 --
1. 원닥터 < 2종이상의 애드웨어 설치자 / 허위보안제품>
2. WindowSystemInfo <시스템 정보 보기툴 -VB6.0 런타임이 있어야 동작>
3. About-Blank
-- 아래 프로그램은 따로 정보 제공 --
4. Internet Explorer storia Guide <광고툴바 / 검색툴바>
--> 주소줄 검색 가로채어 광고 노출
--> 참고링크 : http://fantasy-actuality.tistory.com/185
5. savemoneyshop <광고툴바 / 검색툴바>
--> 즐겨찾기 와 바탕화면에 다수의 사이트 링크 추가
--> 참고링크 : http://fantasy-actuality.tistory.com/187
6. 윈도우 서비스 프로레스 : servcproc
--> 참고링크 : http://fantasy-actuality.tistory.com/188
<유포링크><2007.11.29>
해당 유포링크에서 설치될 당시 별도의 동의창도 제공되지 않았으며,
바로 설치진행창으로 이동됩니다. 허위보안툴인 원닥터만 설치되는 것처럼 보이지만
사용자 몰래 다수의 설치자를 생성하고 설치합니다.
<해당프로그램><2007.11.29>
- 원닥터 <윈닥터 / Win-doctor>
설치되자마다 검사를 하더니 경고를 합니다..
2단계라고 표시되었네여.. 원인모를 ... 악성코드라구합니다.
그원인이 무엇일까요.. 포멧된 컴에 해당툴만 설치해도 이런 메시지를 보이는군요
- WindowSystemInfo
<결제시 주의사항>
자동연장결제방식을 사용하고 있으며,
결제정보 창에 자동연장결제에 대한 약관을 미제공하고 있음.
자동연장결제하면 얼마동안 결제
되는지 정보를 제공하고 있지
않으며, 사용자의 별도 해지요청 없을 시 매월 청구라고 명시를 하고 있다.
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<진단상황><2007.11.30>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
<상기 사항의 일부는 30일짜로 안철수연구소 엔진에 반영것임.>
servcproc.exe Win-Downloader/Hot24.264192
instsrv.exe Win-Adware/Rogue.SPack.180224
Win-Adware/Rogue.WinDoctor.726528
Win-Downloader/Rogue.WinDoctor.40960
wdp.exe Win-Adware/Rogue.WinDoctor.738816
jdnder.exe : Win-Trojan/Downloader.210944.B = 반영일 V3(2007.12.01.00)
2> 네이버툴바 <확인일 : 2007.12.03>
Adware/WinDoctor
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.11.29>
설치 Url : {8CFCA3FE-22BB-47F3-995B-80FFD903388C}(Windoctor Control) - hxxp://xxx.windoctor.co.kr/pgm/windoctor.cab
원닥터에 대한 제작사 제공 삭제파일 :
http://pdw.windoctor.co.kr/pgm/windoctorremover.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> 원닥터 <윈닥터 / Win-Doctor>
--> WindowSystemInfo <윈도우시스템인포>
--> About-Blank
시작프로그램에 아래항목 등록
[windoctor] C:\Program Files\windoctor\windoctor.exe
[windows jdn] C:\Program Files\common files\wjdcom\jdnder.exe
[WindowSystemInfo] C:\WINDOWS\system32\wininfoupdate.exe
[About-Blank] C:\WINDOWS\system32\AboutBlankUpdate.exe
<설치 레지스터리 일부><2007.11.29>
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
{9694E4D6-1B0E-458C-8348-A295AC2E4977} REG_BINARY www.%s.about-blank.co.kr
HKEY_CURRENT_USER\Software\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\WindowSystemInfo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\About-Blank
HKEY_LOCAL_MACHINE\SOFTWARE\vspt
HKEY_LOCAL_MACHINE\SOFTWARE\windoctor
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\jdnder
<설치 폴더 일부><2007.11.29>
| c:\Documents and Settings\All Users\시작 메뉴\프로그램\윈닥터 | |||
| 윈닥터 제거.lnk | 2007-11-29 16:08.12 | 692 | |
| 윈닥터.lnk | 2007-11-29 16:08.12 | 708 | |
| c:\Documents and Settings\계정\시작 메뉴\프로그램\WindowSystemInfo | |||
| Window cpu memory info.lnk | 2007-11-29 16:08.33 | 1,702 | |
| c:\Program Files\Common Files\wjdcom | |||
| jdnder.exe | 2007-11-29 16:08.11 | 210,944 | |
| c:\Program Files\windoctor | |||
| gg.dll | 2007-11-29 16:08.02 | 214,138 | |
| td.dat | 2007-11-29 16:08.07 | 12 | |
| wdp.exe | 2007-11-29 16:08.04 | 738,816 | |
| windoctor.exe | 2007-11-29 16:08.02 | 726,528 | |
| windoctor.ini | 2007-11-29 16:08.19 | 71 | |
| windoctor.log | 2007-11-29 16:08.19 | 129 | |
| c:\Program Files\WindowSystemInfo | |||
| Uninstall.exe | 2007-11-29 16:08.33 | 79,394 | |
| Window cpu memory info.exe | 2007-11-06 12:27.36 | 954,368 | |
| c:\WINDOWS\system32 | |||
| AboutBlankUpdate.exe | 2007-11-19 15:05.08 | 135,168 | |
| MSCOMCTL.OCX | 2006-09-23 17:15.26 | 1,071,088 | |
| VB6KO.DLL | 2000-10-02 00:00.00 | 102,160 | |
| windoctorremover.exe | 2007-11-29 16:08.05 | 333,312 | |
| wininfoupdate.exe | 2007-11-06 15:58.12 | ||
< 추가정보 >
1> 원닥터< 윈닥터>가 설치되면 c:\Program Files\Common Files\wjdcom 폴더를
생성하고 jdnder.exe 을 생성하며, jdnder.exe 는 2종이상의 애드웨어를 다운로드하고
설치하는 악성 다운로더 이다. < 설치되는 목록은 일정하지 않은 것으로 보임>
2> 윈닥터 업데이트 모듈인 windoctorupdater.exe 파일은 jdnder.exe과 동일한 다운로더로 다른 애드웨어를 사용자 동의 없이 설치하는 설치자입니다.
3> wininfoupdate.exe 는 WindowSystemInfo 의 업데이트 모듈이 아래사이트에
접속하여 특정파일을 받아온다.
hxxp://uxpxtexhx.windowinfo.co.kr/xxxxxxx/php/update.php
4> AboutBlankUpdate.exe 는 About-Blank 의 업데이트 모듈로 아래 사이트에 접속하여
특정파일을 받아오도록 되어있지만.. 접속 되지 않았다.
hxxp://xxx.about-blank.co.kr/xxxxxxx/update.php
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - savemoneyshop <별칭 :세이브머니샵> (5) | 2007.12.02 |
|---|---|
| Adware - Internet Explorer storia Guide <다른이름 : Internet Explorer Guide> (1) | 2007.11.30 |
| Adware/Rogue - 악성코드 제거 전문 G2 - 네이버툴바 : Adware/G2 (0) | 2007.11.25 |
| Adware/Rogue - Windows-WebProtect (유해사이트차단) / Trojan.Win32.SecondThought.bi (12) | 2007.11.22 |
| Adware/Rogue - STOP / 스톱 ( 진단명 : Adware/ACTSTOP ) (0) | 2007.11.21 |
