본문 바로가기

Analysis/유포지 정보

특정인기글로 유인후 허위정보를 제공하여 설치되는 사례-2007-09-22


특정블러그 / 까페 에 방문하면 허위정보를 제공후,  설치를 유도하는 사례.
특정 사운드 검색프로그램 또는 동영상 뷰어라고 알려주고 설치를 유도한 후 , 특정사이트 바로가기 / 광고용 툴바 생성.


<형식적인 동의/몰래설치 - 번들 설치에 대한 논란 부분>

1>특정페이지 방문시 ACTIVE X 를 통한 설치
--> 이것은 동의창이 아니므로 무단설치에 해당.
--> 단, 해당페이지가 원래 해당툴에 대한 설치페이지일 경우 제외된다.
--> 전혀 관계 없는 페이지에서의 설치.
2>업데이트 창을 통해 선택창만 제공하고 프로그램에 대한 별도 정보 및 별도의 동의를 구하지않을 경우로 클릭을 유도하는 것과 다를게 없습니다.


<일부보안사 해명>


--> 아래와 같이 특정글로 유인후 설치되지만 ACTIVE X 보안팝업이 뜨기 때문에 사용자 선택이 가능하다고 한다.

정말 웃기지 않는가?

--> ACTIVE X 보안팝업은 특정프로그램 또는 사용자의 XP 보안설정여부에 따라 팝업자체가 안뜨고 설치될 수 있다.

--> ACTIVE X가 문제되고 현제 악성배포의 경로가 되고 있는 이유가 보안설정에 따라 팝업자체가 안뜰 수있기 때문에 악용되고 있다



<설치정보>


- 광고용 애드웨어 - 즐겨찾기/바탕화면에 특정사이트 바로가기 생성
- 주소 입력줄에 " 주소창에서 검색이 가능해졌어요! " 맨트 생성

c:\Documents and Settings\<사용자 계정>\Favorites\게임
 게임팡.url /  룰루게임.url / 아이템매니아.url
c:\Documents and Settings\<사용자 계정>\Favorites\쇼핑
 G마켓.url  /   옥션.url  /  인터파크.url
c:\Documents and Settings\<사용자 계정>\바탕 화면
 G마켓.lnk /  옥션.lnk
c:\Program Files\Internet Explorer\Connection Wizard
 IEsnfC.exe /  NTQSI.dll
c:\WINDOWS\Downloaded Program Files --> Auto Search Control
c:\WINDOWS\system32  

 al.ini /  auction.ico /  gmarket.ico  /  IEsnfAL.dll

윈도우 익스플로어 추가기능 관리에 아래파일 등록

Favorite Class - C:\WINDOWS\system32\IEsnfAL.dll

시작프로그램에 아래 항목 등록

[IEsnfC] C:\Program Files\Internet Explorer\Connection Wizard\IEsnfC.exe


<삭제 정보><해당 삭제방법으론 레지스터리 흔적 값은 남게 됩니다.>
--> 단, 작동되지 않도록 무력화만 가능.
<레지스터리 삽입값은 공개하지 않는 이유는 잘못된 삭제로 인한 2차적인 오류가 수반될 수 있기 때문입니다.>
--> 직접 삭제하실 때 참고사항

1> 보안제품에서 진단하는 경우 잠시 실시간 감시를 해제한다.
--> 단, 보안제품으로 삭제하지 않고 그레이제로 / 제어판 - 추가삭제에서 삭제할 경우 해당.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.

2>브라우져 추가기능 관리에 등록된 항목  BHO에 등록 항목을 죽여야 한다.
--> Favorite Class - C:\WINDOWS\system32\IEsnfAL.dll

HijackThis 라는 프로그램을 사용하여 해당프로세스를 죽인다. 해당툴은 아래링크에서 다운로드가능하다.
--> http://www.trendsecure.com/portal/en-US/threat_analytics/quick_start_guide.php

3> 삭제후 설치폴더 및 시작프로그램 등록 내용을 확인하여 관련항목을 삭제한다.


<하이젝디스 사용법>

HijackThis 를 더블클릭하여 실행후 do a system scan only 클릭하면 검색값이
나옵니다. 검색값은 컴에 사용되거나 메모리에 상주한 툴 / 시작프로그램 / 등에
등록된 값들이 표시됩니다.

검색값중 삭제하고자 하는 툴에 의해 삽입된 항목을 선택후 Fix checked 하시면
됩니다.

--> 주의 사항  <--

--> 사용자의 실수로 잘못 Fix checked 시면 사용자의 책임입니다.
--> HijackThis 사용시에도 잘못 삭제후 HijackThis 때문에 문제가 생겻다는 분들이
--> 계신데 자신이 잘못사용한 것이 아닌지 확인하십시오.
<사레1> 허위정보를 제공후 설치되는 경우
사용자 삽입 이미지

<사례2> 특정 뉴스 / 연예인 관련글로 유인후 설치
사용자 삽입 이미지
사용자 삽입 이미지