본문 바로가기

Analysis/유포 프로그램

Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >

입력일 :2007/12/21 17:11
수정일 :
2007/12/21 22:57

설치 URL :
ISGP Control - {A98A8B75-E65B-4376-8635-1A8E38D6C7C4}
- hxxp://xxx.go.co.kr/xxxx/isgp.cab

C:\WINDOWS\Downloaded Program Files\ISGP Control

상기 Active X 는
       http://xxxx.go.co.kr/xxxx/isgp.exe 을 다운로드 하며, isgp.exe
       아래 목록을  설치한다.

File isgp.exe   received on 12.20.2007 14:20:54
File size: 1150658 bytes
MD5: 64f39a1306e7753de022c601090d029b
--> http://www.virustotal.com/resultado.html?ae8518de223f181b91841b7be44b180b


<설치하는 목록><2007.12.20>
--> 유포시점에 따라 항목은 상이 할 수 있습니다.

1. Internet Explorer Guide V2
--> 다른 버전 : Windows Go toolbar uninstall

관련링크 : 2007/12/22 - [유포 정보/유포 프로그램] - Adware - Windows Go toolbar uninstall < 별칭 : GO툴바 >


2. savemoneyshop
--> 참고정보 : http://fantasy-actuality.tistory.com/187


Internet Explorer Guide V2 에 대한 정보

브라우져 주소줄 검색어를 가로채어 GO.co.kr 을 통해 검색결과를 보여주거나 검색을 통해 특정사이트 방문시 경유하도록 한다.

--> 클릭당 수입금을 받기위해 자신들의 사이트를 경유하도록 하고 있다.
사용자 삽입 이미지

<약관 내용 일부 발췌>



제작사 배포홈 : 검색포털 고 홈피 : go.co.kr
--> 이 곳이 배포사이트이긴하지만  해당 사이트에서 제공하는 설치파일은

Internet Explorer Guide V2 가 아닌  다른 버전인 Windows Go toolbar uninstall를 배포중 이었다.

원배포처에선  약관과 정식 배포 하는 듯하지만, 동일한 검색툴바를 일부만 변경하여  다른 프로그램인양 다른 곳에서 배포하고 원 배포처에선 그와 다른 툴바를 제공하며,  삭제방법과 약관까지 다르게 제공하는 것은 좀 ..;;

아니 서로 다른 서비스라면 이해가 간다.. 그런데 동일한 서비스인데 ..
그리고, 대리점에서 또는 다른 곳에서 개조해 배포한 것이다. 자신들이 한 것이 아니다 하지 말아 주었으면 한다. 

Acitve X 로 설치될 때 설치파일을 GO.CO.KR 에서 받아 오는데 ..;;

사용자 삽입 이미지

<설치정보><2007.12.20>

HijackThis - 보안툴 <참고하면 좋은 프로그램>
--> http://fantasy-actuality.tistory.com/103


제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.

 Internet Explorer Guide V2


시작프로그램에 아래항목 등록

 [ieguide_v2] C:\Program Files\ieguide_v2\ieguideupdate.exe
 [savemoneyshop] C:\Program Files\savemoneyshop\savemonyshop.exe


브라우져 추가기능 관리 (BHO) 등록사항

IBHO - {14ED2E3F-CC38-4FDC-82FB-951D45A09F77}
- C:\Program Files\ieguide_v2\niebho.dll

File niebho.dll received on 12.20.2007 14:55:04 (CET)
MD5: 7b5c3ce9e993ec0fbb34bc652b4d4b47
--> http://www.virustotal.com/resultado.html?ac763ce0602d3f2d1883c157ca71191a

사용자 삽입 이미지


<설치 레지스터리 일부><2007.12.20>

HKEY_CLASSES_ROOT\CLSID\{14ED2E3F-CC38-4FDC-82FB-951D45A09F77}
HKEY_CLASSES_ROOT\CLSID\{9CC3DECA-53F1-441B-A0FB-369633975784}
HKEY_CURRENT_USER\Software\Neoieguide
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
   ieguide_v2 REG_SZ C:\Program Files\ieguide_v2\ieguideupdate.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{14ED2E3F-CC38-4FDC
-82FB-951D45A09F77}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9CC3DECA-53F1-441B
-A0FB-369633975784}
HKEY_LOCAL_MACHINE\SOFTWARE\Neoieguide
HKEY_LOCAL_MACHINE\SOFTWARE\ieguide_v2
   dir REG_SZ C:\Program Files\ieguide_v2
   hidever REG_SZ 20071030
   ieguidever REG_SZ 20071030
   pid REG_SZ isgp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{9CC3DECA-53F1-441B-A0FB-369633975784}

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects\{14ED2E3F-CC38-4FDC-82FB-951D45A09F77}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Uninstall\ieguide_v2
   DisplayName REG_SZ Internet Explorer Guide V2
   UninstallString REG_SZ "C:\Program Files\ieguide_v2\uninstall.exe"


<설치 폴더 일부><2007.12.20>

c:\Documents and Settings\계정\시작 메뉴\프로그램\Internet Explorer Guide V2

Uninstall.lnk 2007-12-20 20:10.46 1,585

라이센스.lnk 2007-12-20 20:10.46 1,569
c:\Program Files\ieguide_v2

ieguideupdate.exe 2007-10-30 16:43.36 274,432

License.txt 2006-10-12 18:00.30 6,053

niebar.dll 2007-10-29 18:46.22 258,560

niebho.dll 2007-10-29 18:46.26 277,504

uninstall.exe 2007-12-20 20:10.46 119,652
c:\Program Files\savemoneyshop

<삭제정보 파일><2007.12.20>
--> 설치될 당시 생성된 삭제 정보 파일


savemoneyshop 에 대한 진단상황


<진단상황><2007.12.20>
--> 진단상황은 일부 누락되었을 수 있습니다.
--> 참고정보 :
2007/12/02 [유포 정보/유포 프로그램] savemoneyshop <별칭 :세이브머니샵>


1> Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어

Win-Dropper/SMoneyShop.372842
savemoneyshop.dll   Win-Adware/BHO.SMoneyShop.311296 

2> 네이버툴바

Adware/SaveMoneyShop

3> 바이러스체이서

Adware.SaveMoneyShop
savemoneyshop.dll   Adware.SaveMoneyShop.311296