악성유포 제품 - 글에 유도되어 방문되는 홈에서 사례 2007-08-19
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
bio pcmedic
이지캐치
AD-Sweeper
SearchPop / SearchURL / SideLink / SPack / searchspy ---> 설치될 경우 하드관련 오류 발생하였다.<2007.08.19 유포당시>
gomsek툴바 --> 제어판 - 추가삭제 에 등록되지 않음. 삭제정보를 컴에 생성하지 않음 <2007.08.19 유포당시>
plusclear
DoctorCode
<주의사항>
해당링크는 W32/Virut.A 라는 실행파일감염형 바이러스도 유포하고 있어 링크를 삭제하였습니다.
특정글로 유인후 방문되는 공유사이트 / 특정블로그 / 개인홈피 등에서 설치되는 링크 사례로 해당 유포페이지에 방문하면 모니터 우측하단에 작은 익스플로어 창을 띠운것이 . 악성유포파일을 다운로드하기 위한 페이지이다.
좌측하단에 작게 띠워진 것을 펼쳐보면 아래와 같았다.
<형식적인 동의/몰래설치 - 번들 설치에 대한 논란 부분>
1>특정페이지 방문시 ACTIVE X 를 통한 설치
--> 이것은 동의창이 아니므로 무단설치에 해당.
--> 단, 해당페이지가 원래 해당툴에 대한 설치페이지일 경우 제외된다.
--> 전혀 관계 없는 페이지에서의 설치.
2>업데이트 창을 통해 선택창만 제공하고 프로그램에 대한 별도 정보 및 별도의 동의를 구하지않을 경우로 클릭을 유도하는 것과 다를게 없습니다.
<일부보안사 해명>
--> 아래와 같이 특정글로 유인후 설치되지만 ACTIVE X 보안팝업이 뜨기 때문에 사용자 선택이 가능하다고 한다.
정말 웃기지 않는가?
--> ACTIVE X 보안팝업은 특정프로그램 또는 사용자의 XP 보안설정여부에 따라 팝업자체가 안뜨고 설치될 수 있다.
--> ACTIVE X가 문제되고 현제 악성배포의 경로가 되고 있는 이유가 보안설정에 따라 팝업자체가 안뜰 수있기 때문에 악용되고 있다
<참조링크><자동연장결제 피해시 대처 사항>
--> http://fantasy-actuality.tistory.com/15
<설치목록>
bio pcmedic
이지캐치
AD-Sweeper
SearchPop / SearchURL / SideLink / SPack / searchspy ---> 설치될 경우 하드관련 오류 발생하였다.<2007.08.19 유포당시>
gomsek툴바 --> 제어판 - 추가삭제 에 등록되지 않음. 삭제정보를 컴에 생성하지 않음 <2007.08.19 유포당시>
plusclear
DoctorCode
<주의사항>
해당링크는 W32/Virut.A 라는 실행파일감염형 바이러스도 유포하고 있어 링크를 삭제하였습니다.
01
| File excinstall6.exe received on 08.19.2007 18:15:35 (CET) | |||
| Antivirus | Version | Last Update | Result |
| AhnLab-V3 | 2007.8.18.0 | 2007.08.18 | Win32/Virut |
| AntiVir | 7.4.1.62 | 2007.08.19 | W32/Virut.A |
| Authentium | 4.93.8 | 2007.08.17 | - |
| Avast | 4.7.1029.0 | 2007.08.17 | Win32:Virut-B |
| AVG | 7.5.0.484 | 2007.08.19 | Win32/Virut.A |
| BitDefender | 7.2 | 2007.08.19 | Win32.Virtob.C |
| CAT-QuickHeal | 9.00 | 2007.08.18 | (Suspicious) - DNAScan |
| ClamAV | 0.91 | 2007.08.19 | - |
| DrWeb | 4.33 | 2007.08.19 | Win32.Virut |
| eSafe | 7.0.15.0 | 2007.08.16 | - |
| eTrust-Vet | 31.1.5069 | 2007.08.18 | - |
| Ewido | 4.0 | 2007.08.19 | - |
| FileAdvisor | 1 | 2007.08.19 | - |
| Fortinet | 2.91.0.0 | 2007.08.19 | - |
| F-Prot | 4.3.2.48 | 2007.08.17 | W32/Splendor.4960 |
| F-Secure | 6.70.13030.0 | 2007.08.17 | Virus.Win32.Virut.a |
| Ikarus | T3.1.1.12 | 2007.08.19 | BehavesLikeWin32.Malware |
| Kaspersky | 4.0.2.24 | 2007.08.19 | - |
| McAfee | 5100 | 2007.08.17 | Generic Downloader.c |
| Microsoft | 1.2803 | 2007.08.19 | Virus:Win32/Virut.A |
| NOD32v2 | 2469 | 2007.08.18 | Win32/Virut.5127 |
| Norman | 5.80.02 | 2007.08.17 | - |
| Panda | 9.0.0.4 | 2007.08.19 | W32/Virutas.B |
| Prevx1 | V2 | 2007.08.19 | - |
| Rising | 19.36.60.00 | 2007.08.19 | Win32.Virut.a |
| Sophos | 4.20.0 | 2007.08.12 | W32/Virut-A |
| Sunbelt | 2.2.907.0 | 2007.08.18 | - |
| Symantec | 10 | 2007.08.19 | W32.Virut.A |
| TheHacker | 6.1.8.170 | 2007.08.17 | - |
| VBA32 | 3.12.2.2 | 2007.08.17 | Virus.Win32.Virut.A |
| VirusBuster | 4.3.26:9 | 2007.08.19 | - |
| Webwasher-Gateway | 6.0.1 | 2007.08.19 | Win32.Virut.A |
| Additional information | |||
| File size: 238080 bytes | |||
| MD5: dc5f91f1e8b1cd20fe2d4cd2bc08e664 | |||
| SHA1: 3ea3218cca14479383d864189a7457ff4140d131 | |||
| packers: ASPack | |||
| packers: Aspack | |||
'Analysis > 유포지 정보' 카테고리의 다른 글
| 악성유포 제품 - 글에 댓글을 달아 유도후 설치페이지 이동 사례 2007-0826 (0) | 2007.10.02 |
|---|---|
| 악성유포 제품 - 글에 유도되어 방문되는 홈에서 사례 2007-08-24 (0) | 2007.10.02 |
| 악성유포 보안제품 - 공유사이트 방문시 설치 사례 2007-8-14 (0) | 2007.10.02 |
| 악성유포 보안제품 - 특정글로 유인후 설치사례 2007-8-13-4 (0) | 2007.10.02 |
| 악성유포 보안제품 - 특정글로 유인후 설치사례 2007-8-13-3 (0) | 2007.10.02 |
