입력일 : 2007.12.12
Windows KToolbar Toolbar (광고용 애드웨어)는
Win-Dropper/ToolBar.KToolBar.263168 (안철수 연구소 진단명) 로 진단되는 kernar32.exe에 의해 설치된다. 그러나 다양한 유포경로가 존재 할 수 있습니다.
해당 툴바는 일부 기능
- 브라우져 기본 검색 변경
- 인터넷 주소줄 입력창에 키워드 추천 단어 제공
참고 그림 1
참고 그림 2
익스플로어를 실행 시키려고 하면 오류창을 보여주기도 한다.
kernar32.exe에 의해 사용자 컴퓨터에 동의 없이 설치되는 사례는 유포관련 정보 참조.
< kernar32.exe 내 일부 내부 문서 >
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\interlink\'
Align 4
dd FFFFFFFFh
dd 0000003Ch
SLP0047F944_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\powertb\'
Align 8
dd FFFFFFFFh
dd 0000003Ch
SLP0047F98C_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bonustb\'
Align 8
dd FFFFFFFFh
dd 0000003Dh
SLP0047F9D4_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\doumitlb\'
Align 4
dd FFFFFFFFh
dd 00000039h
SLP0047FA1C_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ktbr\'
중략 ~~
SLP0047FAB4_http___korea_bonuspack_co_kr_ins:
db 'http://korea.bonuspack.co.kr/install/install_ktbr.zip'
중략 ~~
SLP0047FCF0_http___korea_bonuspack_co_kr_ins:
db 'http://korea.bonuspack.co.kr/install/install_count.php?kind=i&pid='
Align 4
위에 내용을 보더라도 KToolBar 만을 설치하기위해 만들어지진 않은 것으로 보인다.
레지스터리에 삽입하려는 정보를 보더라도 ~~
<유포관련 정보><2007.11.10>
Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회>
--> http://fantasy-actuality.tistory.com/202
<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Dropper/ToolBar.KToolBar.263168
kernar32.exe Win-Dropper/ToolBar.KToolBar.263168
ktbr_uninstall.exe Win-Adware/ToolBar.KToolBar.201728
ktbr_u.exe Win-Adware/ToolBar.KToolBar.251904
ktbr.dll Win-Adware/BHO.KToolBar.312320
2> 네이버 툴바
Adware/Toolbar.KToolbar
kernar32.exe Trojan-Downloader.Win32.Adload.nt
ktbr.dll not-a-virus:AdWare.Win32.BHO.kn
3> 하우리 (바이로봇)
Adware.KBar.To
kernar32.exe Adware.KBar.To.263168
4> 알약 v1.0 beta1
A.TBR.ktbr
kernar32.exe V.DWN.Misc.196608
<일부 파일 바이러스토탈 진단상황>
보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20
File ktbr_u.exe received on 12.12.2007 08:26:40 (CET)
MD5: ea73e0fd6281965f61ad58caa3325a2b
--> http://www.virustotal.com/resultado.html?fb8795caa4152c3fa7b7b098a7c4399c
File ktbr.dll received on 12.12.2007 08:21:22 (CET)
MD5: 725255fa29a4c5b893cb9d70485e8b47
--> http://www.virustotal.com/resultado.html?56f0f01d54e5db530c66c531e6f65cb4
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
--> http://fantasy-actuality.tistory.com/103
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> Windows KToolbar Toolbar
시작프로그램에 아래항목 등록
[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[ktbr] C:\Program Files\ktbr\ktbr_u.exe
윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록
BHO: (no name) - {AED44F5F-445C-48BB-B395-ACCF7A5ED424} -
C:\Program Files\ktbr\ktbr.dll
Toolbar: 케이툴바 - {7AE0BB07-9920-46DF-AAC7-411F557A18A8} -
C:\Program Files\ktbr\ktbr.dll
참고 그림 3
참고 그림 4
<설치 레지스터리 일부><2007.12.10>
HKEY_CLASSES_ROOT\CLSID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}
HKEY_CLASSES_ROOT\CLSID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}
<설치 폴더 일부><2007.12.10>
<수동 삭제 방법>
수동삭제 레지스터리 제공사유 :
다른 애드웨어 와 달리 삭제 정보 파일의 클릭만으로 삭제되지 아니하고
별도의 옵션을 붙여야 하기 때문에 삭제가 어려울 수 있어 제공.
1> 레지스터리 삽입값 제거
--> 상기 항목을 참고하시거나 제가 제공하는 제거용 레지스터리 병합
--> 제거용 레지스터리는 XP 에 기준으로 작성
레지스터리 수동삭제 또는 제가 제공하는 병합파일로 병합후 인터넷 주소줄 검색창이
살아진다면 아래링크 참고 하여 복구
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
2> 상기 언급된 설치폴더를 보고 수동으로 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 프로그램으로 해당파일 제거
또는 재부팅후 삭제
HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103
3> 재부팅전에 주의해야 할 사항
시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거
Windows KToolbar Toolbar (광고용 애드웨어)는
Win-Dropper/ToolBar.KToolBar.263168 (안철수 연구소 진단명) 로 진단되는 kernar32.exe에 의해 설치된다. 그러나 다양한 유포경로가 존재 할 수 있습니다.
해당 툴바는 일부 기능
- 브라우져 기본 검색 변경
- 인터넷 주소줄 입력창에 키워드 추천 단어 제공
참고 그림 1
참고 그림 2
익스플로어를 실행 시키려고 하면 오류창을 보여주기도 한다.
kernar32.exe에 의해 사용자 컴퓨터에 동의 없이 설치되는 사례는 유포관련 정보 참조.
< kernar32.exe 내 일부 내부 문서 >
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\interlink\'
Align 4
dd FFFFFFFFh
dd 0000003Ch
SLP0047F944_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\powertb\'
Align 8
dd FFFFFFFFh
dd 0000003Ch
SLP0047F98C_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\bonustb\'
Align 8
dd FFFFFFFFh
dd 0000003Dh
SLP0047F9D4_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\doumitlb\'
Align 4
dd FFFFFFFFh
dd 00000039h
SLP0047FA1C_SOFTWARE_Microsoft_Windows_Curre:
db 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ktbr\'
중략 ~~
SLP0047FAB4_http___korea_bonuspack_co_kr_ins:
db 'http://korea.bonuspack.co.kr/install/install_ktbr.zip'
중략 ~~
SLP0047FCF0_http___korea_bonuspack_co_kr_ins:
db 'http://korea.bonuspack.co.kr/install/install_count.php?kind=i&pid='
Align 4
위에 내용을 보더라도 KToolBar 만을 설치하기위해 만들어지진 않은 것으로 보인다.
레지스터리에 삽입하려는 정보를 보더라도 ~~
<유포관련 정보><2007.11.10>
Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회>
--> http://fantasy-actuality.tistory.com/202
<진단상황><2007.12.10>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
Win-Dropper/ToolBar.KToolBar.263168
kernar32.exe Win-Dropper/ToolBar.KToolBar.263168
ktbr_uninstall.exe Win-Adware/ToolBar.KToolBar.201728
ktbr_u.exe Win-Adware/ToolBar.KToolBar.251904
ktbr.dll Win-Adware/BHO.KToolBar.312320
2> 네이버 툴바
Adware/Toolbar.KToolbar
kernar32.exe Trojan-Downloader.Win32.Adload.nt
ktbr.dll not-a-virus:AdWare.Win32.BHO.kn
3> 하우리 (바이로봇)
Adware.KBar.To
kernar32.exe Adware.KBar.To.263168
4> 알약 v1.0 beta1
A.TBR.ktbr
kernar32.exe V.DWN.Misc.196608
<일부 파일 바이러스토탈 진단상황>
보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20
File ktbr_u.exe received on 12.12.2007 08:26:40 (CET)
MD5: ea73e0fd6281965f61ad58caa3325a2b
--> http://www.virustotal.com/resultado.html?fb8795caa4152c3fa7b7b098a7c4399c
File ktbr.dll received on 12.12.2007 08:21:22 (CET)
MD5: 725255fa29a4c5b893cb9d70485e8b47
--> http://www.virustotal.com/resultado.html?56f0f01d54e5db530c66c531e6f65cb4
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.12.10>
HijackThis - 보안툴 <BHO 에 등록된 것을 제거시 도움되는 프로그램>--> http://fantasy-actuality.tistory.com/103
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> Windows KToolbar Toolbar
시작프로그램에 아래항목 등록
[dpup] C:\Program Files\doublepoint\dpup.exe
[imgrs] C:\WINDOWS\system32\imgrs.exe
[ktbr] C:\Program Files\ktbr\ktbr_u.exe
윈도우 익스플로어 추가기능관리 (BHO) 아래 파일 등록
BHO: (no name) - {AED44F5F-445C-48BB-B395-ACCF7A5ED424} -
C:\Program Files\ktbr\ktbr.dll
Toolbar: 케이툴바 - {7AE0BB07-9920-46DF-AAC7-411F557A18A8} -
C:\Program Files\ktbr\ktbr.dll
참고 그림 3
참고 그림 4
<설치 레지스터리 일부><2007.12.10>
HKEY_CLASSES_ROOT\CLSID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}
HKEY_CLASSES_ROOT\CLSID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{7AE0BB07-9920-46DF-AAC7-411F557A18A8}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CL
SID\{AED44F5F-445C-48BB-B395-ACCF7A5ED424}
| HKEY_LOCAL_MACHINE\SOFTWARE\ktbr\1\version | |||
| ktbr.dll | REG_SZ | 2.0 | |
| ktbr_u.exe | REG_SZ | 1.1 | |
| ktbr_uninstall.exe | REG_SZ | 1.0 | |
| pid | REG_SZ | kernar32 | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar | |||
| {7AE0BB07-9920-46DF-AAC7-411F557A18A8} | REG_SZ | ||
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AED44F5F-445C-48BB-B395-ACCF7A5ED424} | |||
| firststart | REG_DWORD | 0x00000000 (0) | |
| NoExplorer | REG_DWORD | 0x00000001 (1) | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | |||
| ktbr | REG_SZ | C:\Program Files\ktbr\ktbr_u.exe | |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Uninstall\ktbr | |||
| DisplayName | REG_SZ | Windows KToolbar Toolbar | |
| UninstallString | REG_SZ | C:\Program Files\ktbr\ktbr_uninstall.exe update_gostb | |
<설치 폴더 일부><2007.12.10>
| c:\Program Files\ktbr | |||
| basic.skn | 2006-05-20 19:25.46 | 25,764 | |
| keyword_conv.dat | 2007-05-19 16:03.34 | 657,817 | |
| ktbr.dll | 2007-07-31 14:16.16 | 312,320 | |
| ktbr_u.exe | 2007-07-31 14:16.06 | 251,904 | |
| ktbr_uninstall.exe | 2007-07-31 14:16.08 | 201,728 | |
| c:\WINDOWS | |||
| blist.dat | 2007-02-10 15:44.58 | 1,260 | |
<수동 삭제 방법>
수동삭제 레지스터리 제공사유 :
다른 애드웨어 와 달리 삭제 정보 파일의 클릭만으로 삭제되지 아니하고
별도의 옵션을 붙여야 하기 때문에 삭제가 어려울 수 있어 제공.
1> 레지스터리 삽입값 제거
--> 상기 항목을 참고하시거나 제가 제공하는 제거용 레지스터리 병합
--> 제거용 레지스터리는 XP 에 기준으로 작성
invalid-file레지스터리 수동삭제 또는 제가 제공하는 병합파일로 병합후 인터넷 주소줄 검색창이
살아진다면 아래링크 참고 하여 복구
애드웨어 삭제후 인터넷 주소줄 표시창이 살아진다면 ?
--> http://fantasy-actuality.tistory.com/24
2> 상기 언급된 설치폴더를 보고 수동으로 파일 및 설치폴더 삭제
--> 일부 사용중이라며 파일이 삭제되지 않을 경우 아래 프로그램으로 해당파일 제거
또는 재부팅후 삭제
HijackThis - 보안툴
http://fantasy-actuality.tistory.com/103
3> 재부팅전에 주의해야 할 사항
시작 - 실행 - MSconfig 실행후 시작프로그램 목록을 확인하여 의심스러운 항목 제거
'Analysis > 유포 프로그램' 카테고리의 다른 글
| Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To > (0) | 2007.12.15 |
|---|---|
| Adware - Windows KyleXY <일부 구성요소가 Trojan-Downloader.Win32.Agent.dkt로 진단> (0) | 2007.12.13 |
| Adware - Windows doublepoint ( 더블 포인트 )에 생성되는 다운로더 - <2회> (4) | 2007.12.11 |
| Adware/Rogue - pcsave < 별칭 : pcsave 삭제 / 피씨세이브 > (0) | 2007.12.10 |
| Adware/Rogue - ViKill < 별칭 : 바이러스킬 / 동의없이 설치되며, Virut 감염까지 > (4) | 2007.12.06 |
