Analysis/유포 프로그램
Adware - Shopcenter-pulun < 샵센터 / 하우리에서 ADware.ShopCenter 진단>
진샘나미
2007. 10. 30. 22:52
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
그레이웨어 무엇인지 아세여?
보안제품은 보조수단이지 맹신은 금물..;;
유포되고 있는 Adware - Shopcenter-pulun
--> 배포방식에 문제가 있는 적립툴바로 보임.
--> 실제 적립이 되는 지는 미확인.
--> 특정 사이트 방문시 Shopcenter 추가적립 표시를 주소줄 하단에 생성
<동작 화면>
<진단상황><2007.10.30>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
--> 2007.11.01 짜로 진단추가됨.
Win-Downloader/ShopCenter.271999
Win-Downloader/ShopCenter.263680
2> 하우리 바이로봇
- ADware.ShopCenter
3> NOD 32
- SCUpdate.exe ==> probably unknown NewHeur_PE virus
--> 정확한 진단명은 아닌 의심파일 진단.
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
<유포정보><2007.10.30>
쿨코드<coolcode>에 대한 정보
1>유포되고 있는 Adware/Rogue - coolcode 와 동반 설치되는 Adware 2종
2>메이플 로그인 시스템 장애 와 소녀시대 관련글 검색하던중
- 발견당시 문근영 관련글로 유인후 허위동영상을 보여주고 상단에 Active X 를 띠워
설치를 유도한다. <2007.10.30 일 발견하고 바로신고하여 다음에서 블라인드 처리하였다.>
- 인기 검색 순위 블로그에 등록되어 있었기 때문에 이미 설치된 분들이 많을 것으로 보임.
- 해당 페이지에서 coolcode 가 설치되면 사용자 동의 없이 5종의 adware 를 설치하는 것중 하나 이다...
- coolcode 가 설치되면 dmi.exe 을 생성하고 Shopcenter-pulun 를 설치한다.
- dmi.exe 는 Shopcenter-pulun 설치하는 downloader 이다.
< 유포지 화면 >
<설치정보><2007.10.30>
--> 제작사가 제공하는 삭제 툴
http://update.shopcenter.co.kr/Reward/SCRemove.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있음
Shopcenter-pulun
익스플로어 추가기능관리(BHO) 에 아래항목을 등록
ShopCenterHelper.dll 를 등록하고 특정사이트 방문시 주소줄하단에 바를 생성.
파일 위치 : C:\Program Files\ShopCenter\ShopCenterHelper.dll
시작프로그램에 아래항목을 등록한다.
[ShopCenter] C:\Program Files\ShopCenter\SCUpdate.exe
<설치폴더><2007.10.30>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
그레이웨어 무엇인지 아세여?
보안제품은 보조수단이지 맹신은 금물..;;
유포되고 있는 Adware - Shopcenter-pulun
--> 배포방식에 문제가 있는 적립툴바로 보임.
--> 실제 적립이 되는 지는 미확인.
--> 특정 사이트 방문시 Shopcenter 추가적립 표시를 주소줄 하단에 생성
<동작 화면>
<진단상황><2007.10.30>
--> 진단상황은 일부 누락되었을 수 있습니다.
1> 안철수 연구소
Ahnlab SpyZero 2.0 / V3 Internet Security Platinum / 빛자루의 안티스파이웨어
--> 2007.11.01 짜로 진단추가됨.
Win-Downloader/ShopCenter.271999
Win-Downloader/ShopCenter.263680
2> 하우리 바이로봇
- ADware.ShopCenter
3> NOD 32
- SCUpdate.exe ==> probably unknown NewHeur_PE virus
--> 정확한 진단명은 아닌 의심파일 진단.
보안제품 사용자라면 최소한 알아야 할 진단명 설명
http://fantasy-actuality.tistory.com/20
<유포정보><2007.10.30>
쿨코드<coolcode>에 대한 정보
1>유포되고 있는 Adware/Rogue - coolcode 와 동반 설치되는 Adware 2종
2>메이플 로그인 시스템 장애 와 소녀시대 관련글 검색하던중
- 발견당시 문근영 관련글로 유인후 허위동영상을 보여주고 상단에 Active X 를 띠워
설치를 유도한다. <2007.10.30 일 발견하고 바로신고하여 다음에서 블라인드 처리하였다.>
- 인기 검색 순위 블로그에 등록되어 있었기 때문에 이미 설치된 분들이 많을 것으로 보임.
- 해당 페이지에서 coolcode 가 설치되면 사용자 동의 없이 5종의 adware 를 설치하는 것중 하나 이다...
- coolcode 가 설치되면 dmi.exe 을 생성하고 Shopcenter-pulun 를 설치한다.
- dmi.exe 는 Shopcenter-pulun 설치하는 downloader 이다.
< 유포지 화면 >
<설치정보><2007.10.30>
--> 제작사가 제공하는 삭제 툴
http://update.shopcenter.co.kr/Reward/SCRemove.exe
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있음
Shopcenter-pulun
익스플로어 추가기능관리(BHO) 에 아래항목을 등록
ShopCenterHelper.dll 를 등록하고 특정사이트 방문시 주소줄하단에 바를 생성.
파일 위치 : C:\Program Files\ShopCenter\ShopCenterHelper.dll
시작프로그램에 아래항목을 등록한다.
[ShopCenter] C:\Program Files\ShopCenter\SCUpdate.exe
<설치폴더><2007.10.30>
| c:\Program Files\ShopCenter | |||
| Cache.dat | 2007-10-30 21:48.25 | 25,942 | |
| deny.dat | 2007-10-30 21:48.23 | 136 | |
| MyConnect.dll | 2007-10-30 21:48.21 | 43,238 | |
| RewardUpdateInfo.ccc | 2007-10-30 21:48.23 | 1,735 | |
| SCUpdate.exe | 2007-10-30 21:48.23 | 275,545 | |
| ShopCenter.exe | 2007-10-30 21:48.22 | 252,588 | |
| ShopCenterAX.ocx | 2007-10-30 21:48.24 | 263,680 | |
| ShopCenterHelper.dll | 2007-10-30 21:48.25 | 277,745 | |
| c:\WINDOWS\system32 | |||
| bInformation.dat | 2007-10-30 21:48.23 | 3,706 | |
| il.dat | 2007-10-30 21:48.26 | 43 | |