본문 바로가기

Analysis/유포 프로그램

Adware - Windows Driver Plus Update 2.1 < 하우리 : Adware.Esearh.To >

입력일 : 2007.12.15

다른 버전 :Adware - internet web service package v1.1
관련글 :
2007/12/19 - [자유로운 이야기/횡설수설] - 무료 SMS 문자로 유인하는 허위프로그램 만연.. ?


오늘 사이트를 방황하다 하나 발견한 사이트는 참 ... 웹환경이 얼마나 위험한 곳인지를 단적으로 보여주는 것이 아닌가 한다.

일부 쇼핑몰 / 광고사이트 / 등에 메인에 걸고 설치를 유도하는 애드웨어를 볼 수 있었는데... 그나마 약관 제공과 동의창을 제공하고 있어. 넘어가려고 하는 순간. 확인이라도 해봐야 겠다는 생각이 잠시들어 설치해 보았다.

그런데, 검색 편의 제공툴인양  Active X 보안팝업 창에 표시되는 정보를 입력해 놓고,
막상 설치되는 목록은 다르고,  약관 내용을 보면 설치하려는 제품의 약관을 이어 붙여 넣기를 해놓은 상태로 제공하고 있었다.


<유포되고 있는 곳 일부><2007.12.15>

사용자 삽입 이미지

사용자 삽입 이미지


그러니까, 초기 제공하는 약관을 허락하면 이후 설치되는 모든 애드웨어에 대해 포괄적으로 허락하게 되는 약관인 것이다.

또한 설치 진행단계에서 어떠한 프로그램이 깔리는지 사용자가 인지 할수 있는 방법은 존재하지도 않으며, 사용자 컴퓨터에 설치되는 프로그램을 사용자가 선택할 권한 또한 제공하고 있지 않다.

이 것은 동의를 구했다고 하지만, 동의라고 볼수 없다는 것이다.

<참조 그림 - 약관>

--> 설치시 제공되는 약관으로 설치될 프로그램에 대한 약관을 포괄적으로 제공
--> 이 약관 창에서 동의함으로서 별도의 선택권 없이 모두 설치됨.

사용자 삽입 이미지

사용자 삽입 이미지


<문제점>

1. 초기 약관이 명확한 허락사항을 제공하는 것이 아닌 설치되는 프로그램들의 약관 조합
2. 동의후  설치되는 프로그램 항목에 대해 사용자가 선택할 수 있는 권한이 없다는 점
3. 설치되는 진행 되는 동안 설치되는 프로그램 상황을  사용자가 인지 할 수 없다는 점
4. 설치가 완료된후  약관상 제공되고 있는 프로그램 명칭과 제어판에 등록되는 정보가 다름
5. 사용자가 설치이후 설치된 항목을 확인하기 어렵다는 점



<진단상황><2007.12.15>
--> 진단상황은 일부 누락되었을 수 있습니다.

1> 안철수 연구소

Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
= 일부만 진단

- installcheck_first.exe   Win-Trojan/Downloader.45056.DG (V3)
- WA00.exe  Win-Trojan/Heuri.66560.D  (V3)

2> 하우리 (바이로봇)

Adware.Esearch.To

3> 바이러스체이서

installcheck_first.exe   Trojan.Downloader.35840

4> 네이버 툴바
= 일부만 진단

Adware/Esearch


<일부 파일 바이러스토탈 진단상황>

보안제품 사용자라면 최소한 알아야 할 진단명들
http://fantasy-actuality.tistory.com/20

File WA00.exe received on 12.15.2007 14:22:58 (CET)
MD5: c1d38c4d8f4b0b05c27fdf523511acb5
--> http://www.virustotal.com/resultado.html?be2942c825a4ebefae5254c62aefeaa1
--> 관련정보 : http://fantasy-actuality.tistory.com/206
File dSetup4.exe received on 12.15.2007 15:08:40 (CET)
MD5: e8344f717c13a653ecfa19ed3e932284
--> http://www.virustotal.com/resultado.html?6392531a20824d3b3932b5f341285a24
--> Windows Driver Plus Update 2.1 를 설치 및 애드웨어 설치자 생성자
File eee2.exe received on 12.16.2007 12:54:16 (CET)
MD5: 4fc54133ce1c727a41aca231d49e025a
--> http://www.virustotal.com/resultado.html?6b0ac53846fa19b28a1d8f91956415f1
--> 관련정보 : http://fantasy-actuality.tistory.com/210
File installcheck_first.exe received on 12.16.2007 17:38:16 (CET)
MD5: a832a6feba9af672c2de2bca5a16b79e
--> http://www.virustotal.com/resultado.html?6def99ee444036ff40b5237f775c1a1f
--> 관련정보 : http://fantasy-actuality.tistory.com/206
--> WA00.exe 를  다운로드 함 File window_search.exe received on 12.16.2007 13:15:30 (CET)
MD5: ba294429e6bf33836e44962bb1e12024
--> http://www.virustotal.com/resultado.html?84c5cd955fb3147ff08900b0d5ba5e5a
--> 관련정보 : http://fantasy-actuality.tistory.com/208


<설치정보><2007.12.15>

설치 Url =  {6D29DF9B-5221-4E78-B834-44548799754E}
(AxEeeRun2 Control) - hxxp://eee.kr/partner/xxx/eee2.cab

HijackThis - 보안툴 <참고하면 좋은 프로그램>

--> http://fantasy-actuality.tistory.com/103


제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.

1> Windows Driver Plus Update 2.1

2> Windows Pluspackage Installer
관련정보 : http://fantasy-actuality.tistory.com/206

3> WebSite
관련정보 :
http://fantasy-actuality.tistory.com/208
사용자 삽입 이미지



시작프로그램에 아래항목 등록

[WebSite.exe] C:\Program Files\WebSite\WebSite.exe
[Search Update] C:\Program Files\Esearch\Search Update.exe
[pluscashbag] "C:\Program Files\pluscashbag\pluscashbag.exe" /start


<설치 레지스터리 일부><2007.12.15>

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\윈도우 IE서치서비스 업데이트
     DisplayName REG_SZ Windows Driver Plus Update 2.1
     UninstallString REG_SZ "C:\WINDOWS\IFinst27.exe" -UC:\Program Files\
                                             Esearch\IFUB.inf


<설치 폴더 일부>
<2007.12.15>

c:\Documents and Settings\계정\Local Settings\Temp

WA00.exe 2007-12-15 18:07.10 66,560
c:\Documents and Settings\계정\Local Settings\Temporary Internet Files\

dsetup4[1].exe 2007-12-15 18:04.38 1,150,347
c:\Program Files\Esearch

dSetup4.exe 2007-12-15 18:04.38 1,150,347

eee2.exe 2007-11-19 15:27.28 731,136

IFUB.inf 2007-12-15 18:07.05 8,269

installcheck_first.exe 2007-11-16 17:45.56 45,056

pcode.txt 2007-12-15 18:04.37 5

Search Update.exe 2007-11-07 23:59.42 1,369,600

window search.exe 2007-10-16 14:58.26 65,024
c:\WINDOWS

IFinst27.exe 2007-12-15 18:04.38 65,536
c:\WINDOWS\Downloaded Program Files

AxEeeRun2 Control 2007-11-23 18:58.58