본문 바로가기

Analysis/유포 프로그램

Adware - Windows KToolbar Toolbar

입력일 : 2007.12.12

Windows KToolbar Toolbar (광고용 애드웨어)는


   Win-Dropper/ToolBar.KToolBar.263168  (안철수 연구소 진단명) 로   진단되는  kernar32.exe에 의해 설치된다. 그러나 다양한 유포경로가 존재 할 수 있습니다.

해당 툴바는 일부 기능

- 브라우져 기본 검색 변경
- 인터넷 주소줄 입력창에 키워드 추천 단어 제공

참고 그림 1

사용자 삽입 이미지

참고 그림 2

사용자 삽입 이미지


익스플로어를 실행 시키려고 하면 오류창을 보여주기도 한다.

사용자 삽입 이미지



kernar32.exe에 의해 사용자 컴퓨터에 동의 없이 설치되는 사례는 유포관련 정보 참조.

< kernar32.exe 내 일부 내부 문서 >
 
          db    'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\interlink\'
          Align    4
          dd    FFFFFFFFh
          dd    0000003Ch
 SLP0047F944_SOFTWARE_Microsoft_Windows_Curre:
          db    'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\powertb\'
          Align    8
          dd    FFFFFFFFh
          dd    0000003Ch
 SLP0047F98C_SOFTWARE_Microsoft_Windows_Curre:
          db    'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bonustb\'
          Align    8
          dd    FFFFFFFFh
          dd    0000003Dh
 SLP0047F9D4_SOFTWARE_Microsoft_Windows_Curre:
          db    'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\doumitlb\'
          Align    4
          dd    FFFFFFFFh
          dd    00000039h
 SLP0047FA1C_SOFTWARE_Microsoft_Windows_Curre:
          db    'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ktbr\'
    
     중략 ~~

 SLP0047FAB4_http___korea_bonuspack_co_kr_ins:
          db    'http://korea.bonuspack.co.kr/install/install_ktbr.zip'

     중략 ~~

 SLP0047FCF0_http___korea_bonuspack_co_kr_ins:
          db    'http://korea.bonuspack.co.kr/install/install_count.php?kind=i&pid='
          Align    4

위에 내용을 보더라도 KToolBar 만을 설치하기위해 만들어지진 않은 것으로 보인다.
레지스터리에 삽입하려는 정보를 보더라도 ~~

<유포관련 정보><2007.11.10>

Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회>
-->  http://fantasy-actuality.tistory.com/202


<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Dropper/ToolBar.KToolBar.263168
kernar32.exe  Win-Dropper/ToolBar.KToolBar.263168   
ktbr_uninstall.exe    Win-Adware/ToolBar.KToolBar.201728   
ktbr_u.exe    Win-Adware/ToolBar.KToolBar.251904  
ktbr.dll    Win-Adware/BHO.KToolBar.312320   

2> 네이버 툴바

Adware/Toolbar.KToolbar
kernar32.exe   Trojan-Downloader.Win32.Adload.nt
ktbr.dll    not-a-virus:AdWare.Win32.BHO.kn

3> 하우리 (바이로봇)

Adware.KBar.To
kernar32.exe   Adware.KBar.To.263168

4> 알약 v1.0 beta1

A.TBR.ktbr
kernar32.exe   V.DWN.Misc.196608

<일부 파일 바이러스토탈 진단상황>

보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20

File ktbr_u.exe received on 12.12.2007 08:26:40 (CET)
MD5: ea73e0fd6281965f61ad58caa3325a2b
--> http://www.virustotal.com/resultado.html?fb8795caa4152c3fa7b7b098a7c4399c

File ktbr.dll received on 12.12.2007 08:21:22 (CET)
MD5: 725255fa29a4c5b893cb9d70485e8b47
--> http://www.virustotal.com/resultado.html?56f0f01d54e5db530c66c531e6f65cb4




<아래 프로그램 삭제시 참고사항>

1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2> 삭제후 아래 제시된 설치폴더 정보를 참고하여  관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.

<설치정보><2007.12.10>

HijackThis - 보안툴 <BHO 에 등록된 것을 제거시 도움되는 프로그램>
-->
http://fantasy-actuality.tistory.com/103

애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24

제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> Windows KToolbar Toolbar

시작프로그램에 아래항목 등록

 [dpup] C:\Program Files\doublepoint\dpup.exe
 [imgrs] C:\WINDOWS\system32\imgrs.exe
 [ktbr] C:\Program Files\ktbr\ktbr_u.exe

윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록

BHO: (no name) - {AED44F5F-445C-48BB-B395-ACCF7A5ED424} -
C:\Program Files\ktbr\ktbr.dll

Toolbar: 케이툴바 - {7AE0BB07-9920-46DF-AAC7-411F557A18A8} -
C:\Program Files\ktbr\ktbr.dll

참고 그림 3
사용자 삽입 이미지


참고 그림 4
사용자 삽입 이미지


<설치 레지스터리 일부><2007.12.10>

HKEY_CLASSES_ROOT\CLSID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}
HKEY_CLASSES_ROOT\CLSID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}

HKEY_LOCAL_MACHINE\SOFTWARE\ktbr\1\version

ktbr.dll REG_SZ 2.0

ktbr_u.exe REG_SZ 1.1

ktbr_uninstall.exe REG_SZ 1.0

pid REG_SZ kernar32
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar

{7AE0BB07-9920-46DF-AAC7-411F557A18A8} REG_SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}

firststart REG_DWORD 0x00000000 (0)

NoExplorer REG_DWORD 0x00000001 (1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

ktbr REG_SZ C:\Program Files\ktbr\ktbr_u.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\ktbr

DisplayName REG_SZ Windows KToolbar Toolbar

UninstallString REG_SZ C:\Program Files\ktbr\ktbr_uninstall.exe update_gostb



<설치 폴더 일부><2007.12.10>

c:\Program Files\ktbr

basic.skn 2006-05-20 19:25.46 25,764

keyword_conv.dat 2007-05-19 16:03.34 657,817

ktbr.dll 2007-07-31 14:16.16 312,320

ktbr_u.exe 2007-07-31 14:16.06 251,904

ktbr_uninstall.exe 2007-07-31 14:16.08 201,728
c:\WINDOWS

blist.dat 2007-02-10 15:44.58 1,260


<수동 삭제 방법>

수동삭제 레지스터리 제공사유 :


다른 애드웨어 와 달리 삭제 정보 파일의 클릭만으로 삭제되지 아니하고
별도의 옵션을 붙여야 하기 때문에 삭제가 어려울 수 있어 제공.

1> 레지스터리 삽입값 제거
--> 상기 항목을 참고하시거나 제가 제공하는 제거용 레지스터리 병합
--> 제거용 레지스터리는 XP 에 기준으로 작성



레지스터리 수동삭제 또는 제가 제공하는 병합파일로 병합후 인터넷 주소줄 검색창이
살아진다면 아래링크 참고 하여 복구

애드웨어 삭제후  인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24

2> 상기 언급된 설치폴더를 보고 수동으로 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 프로그램으로 해당파일 제거
또는 재부팅후 삭제

HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103

3> 재부팅전에 주의해야 할 사항

시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거