본문 바로가기

Analysis/유포지 정보

특정웹 방문시 vaccine7 과 동반설치되는 애드웨어 2007-09-27

<형식적인 동의/몰래설치 - 번들 설치에 대한 논란 부분>

1>특정페이지 방문시 ACTIVE X 를 통한 설치
--> 이것은 동의창이 아니므로 무단설치에 해당.
--> 단, 해당페이지가 원래 해당툴에 대한 설치페이지일 경우 제외된다.
--> 전혀 관계 없는 페이지에서의 설치.
2>업데이트 창을 통해 선택창만 제공하고 프로그램에 대한 별도 정보 및 별도의 동의를 구하지않을 경우로 클릭을 유도하는 것과 다를게 없습니다.


<일부보안사 해명>


--> 아래와 같이 특정글로 유인후 설치되지만 ACTIVE X 보안팝업이 뜨기 때문에 사용자 선택이 가능하다고 한다.

정말 웃기지 않는가?

--> ACTIVE X 보안팝업은 특정프로그램 또는 사용자의 XP 보안설정여부에 따라 팝업자체가 안뜨고 설치될 수 있다.

--> ACTIVE X가 문제되고 현제 악성배포의 경로가 되고 있는 이유가 보안설정에 따라 팝업자체가 안뜰 수있기 때문에 악용되고 있다


<참조링크><자동연장결제 피해시 대처 사항>
-->
http://fantasy-actuality.tistory.com/15

<설치목록><2007-09-27>

1> vaccine7
2> Windows Driver for Cashontool
3> WebSite
4> EsearchGuide - Korea
5> ESearchToolbar
6> IE Address Toy Beta 1.1
7> KWSGuide (Ver. 1102)
8> 포인트 리워드

<설치되는 프로그램 들은  아래와 같은 방법으로 정상 삭제는 가능하였습니다.>

1> 제어판 - 추가삭제 에서 확인후 삭제
2> 시작 - 모든 프로그램 - 해당프로그램 - 삭제 / 제거하기 항목
3> 단, 일부 설치자를 시작프로그램에 등록함으로 시작프로그램에 등록된 항목을 주의 깊게 보시고 의심가는 항목 제거 필수
또한 일부 모듈은 삭제시 제대로 삭제되지 않음을 확인 되었으며, 안전모드 부팅후  1> / 2> 번을 수행하시기를 권장.

<진단 상황><일부 상이할수 있음>

- Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어 / 진단 - 치료 가능

1> Win-Adware/Rogue.vaccine7
2> Win-Adware/ToolBar.CashOn
3> Win-Downloader/WebSite / Win-Dropper/WebSite
5> Win-Adware/ToolBar.Esearch
7> Win-Downloader/KWSGuide
8> Win-Adware/nShop

- 카스퍼스키 진단명

6> IE Address Toy Beta 1.1 --> Trojan.Win32.BHO.hd <일부 파일을 바이러스로 진단>

sheleneju.exe  -->
Trojan-Downloader.Win32.VB.blg


- 바이러스 체이서


2> Windows Driver for Cashontool  --> Trojan.downloader.32634 <일부 파일을 바이러스로 진단>

6> IE Address Toy Beta 1.1 --> Trojan.daum <일부 파일을 바이러스로 진단>


사용자 삽입 이미지

<설치정보><설치정보는 간략히만 제공 / 자세한 정보 필요시 댓글 남기시면 로그 보내드림>


--> 폴더명과 프로그램 명이 상이한 경우만 프로그램명 별도표시


1> 시작프로그램에 아래항목을 등록

[WebSite.exe] C:\Program Files\WebSite\WebSite.exe
[Esearch.exe] C:\Program Files\Esearch\Esearch.exe
[ncservice] C:\Program Files\CashOn\bin\ncservice09270316.exe
애드웨어:  Windows Driver for Cashontool
[NCUP] C:\WINDOWS\system32\NCUP09270316.exe 애드웨어:  Windows Driver for Cashontool
[vaccine7] C:\Program Files\vaccine7\vaccine7.exe hidden
[Cashonupdate] C:\Program Files\CashOn\bin\CashOnUpdate09270316.exe
애드웨어:  Windows Driver for Cashontool
[KWSGuide] C:\Program Files\KWSSolution\KWSGuide.exe   애드웨어 :  KWSGuide (Ver. 1102)

2> 익스플로어 추가기능 관리 아래항목 등록

PointReward Class - c:\Program Files\nShopReward\nShopReward.dll
애드웨어 : 포인트 리워드
ccustrad.Trading -  C:\WINDOWS\system32\ccustrad.dll                 애드웨어 : IE Address Toy Beta 1.1
EzToolbarHelper Class - c:\Program Files\ESearchToolbar\ESearchToolbar.dll
Toolbar: 이서치툴바 -  c:\Program Files\ESearchToolbar\ESearchToolbar.dll
CashOn - c:\Program Files\CashOn\bin\NCButton.dll 
애드웨어:  Windows Driver for Cashontool

3> 설치폴더

c:\Documents and Settings\<사용자 계정>\Favorites
 인터넷영화관 벅스무비.url
c:\Documents and Settings\<사용자 계정>\Favorites\감각의 속도가 다른 d&shop
애드웨어:  Windows Driver for Cashontool   
 d&shop.url
 MP3-NAVI Shop.url
 가구-침구.url
 공동구매.url
 도서 다음캐쉬 적립.url 
 디카샵.url
 명품관.url 
 미용-다이어트-건강.url 
 보석-시계.url
 신발-가방-소품.url
 영상-음향-통신가전.url 
 오픈마켓.url
 유아-아동.url 
 의류-속옷.url 
 자동차-레저-취미.url 
 컴퓨터-게임.url
 해외구매대행.url
 화장품-향수.url
c:\Documents and Settings\<사용자 계정>\Favorites\쇼핑  
애드웨어:  Windows Driver for Cashontool
 CJ몰.url 
 GS홈쇼핑.url
 Hmall.url
 네이트몰.url
 농수산홈쇼핑.url
 다음온켓.url 
 동대문닷컴.url 
 디앤샵.url
 신세계몰.url 
 엠플.url 
 옥션.url
 우리홈쇼핑.url 
 우체국쇼핑.url 
 이마트.url
 인터파크.url 
 제로마켓.url 
 지마켓.url
 체리야.url

c:\Documents and Settings\<사용자 계정>\바탕 화면  -->  백신7.lnk
c:\Documents and Settings\<사용자 계정>\시작 메뉴\프로그램\vaccine7 
 백신7 삭제.lnk  /  백신7 실행.lnk  /  백신7 업데이트.lnk 
c:\Program Files\CashOn                      애드웨어: 
Windows Driver for Cashontool
c:\Program Files\Esearch 
c:\Program Files\ESearchToolbar
c:\Program Files\KWSSolution                애드웨어 : 
KWSGuide (Ver. 1102)
c:\Program Files\nShopReward             애드웨어 : 포인트 리워드

c:\Program Files\vaccine7
c:\Program Files\WebSite 
c:\WINDOWS  -->  msado15.dll  
c:\WINDOWS\2007 
c:\WINDOWS\Downloaded Program Files   --> v7actApp Control   
c:\WINDOWS\system32
 barsetup.exe              애드웨어 : IE Address Toy Beta 1.1
 cctrinstall.exe             애드웨어 : IE Address Toy Beta 1.1
 cctruninstall.exe         애드웨어 : IE Address Toy Beta 1.1 
 ccustrad.dll                애드웨어 : IE Address Toy Beta 1.1
 COMDLG32.OCX
 MSCOMCTL.OCX 
 NCUP09270316.exe                                   애드웨어:  Windows Driver for Cashontool
 sheleneju.exe            애드웨어 : IE Address Toy Beta 1.1
 tediamav.ini
 vbar332.dll 
 vbbho.tlb