Analysis/유포 프로그램
Adware - savemoneyshop <별칭 :세이브머니샵>
진샘나미
2007. 12. 2. 02:12
Adware - savemoneyshop <별칭 :세이브머니샵>
입력일 : 2007.12.01
해당 애드웨어는 즐겨찾기 및 바탕화면에 특정사이트 바로가기를 생성하며,
브라우져에 특정 스폰서 사이트 바로가기 버튼을 생성한다.
주소줄 검색 을 가로채어 자신들의 스폰서를 홍보한다.
제작사 사이트를 방문해보니.. 전용삭제툴을 제공하지 않고 있었으며, 해당프로그램사용으로 발생하는 모든 문제에 대해 책임이 없다고 약관으로 명시하고 있었다..
설치도 지멋대로 문제는 책임 없다..;; 난감하다.
<그림1: 삭제프로그램 다운로드 링크라고 제시하고 재설치를 유도하는 모습>
아래 그림을 보면 삭제프로그램 다운받기 라는 항목을 제공하고 있다.
그러나 막상 클릭하면 아래 페이지로 이동하고 설치파일을 다운받아 재설치후 삭제하라고
하라는 설명문 페이지로 이동한다.. 결국 재설치를 유도하고 있다..
<그림2 :약관에 명시하고 있는 책임소지 없음 명시>
일부 내용이 짤렸지만.. 해당 프로그램 사용으로 발생하는 모든 문제는 당사 책임이 아니라고 명시하고 있다..
< 그림3 : 해당 툴바가 등록하는 즐겨찾기 와 버튼 >
브라우져에 자신들의 홍보하는 사이트를 직접 방문하도록 유도하는 버튼을 생성한다.
즐겨찾기에 다수의 홍보 링크를 등록한다
즐겨찾기 및 방문유도 버튼의 링크 모습 ... ilikeclick.com 를 경유하도록 되어 있다.
이유가 무엇이겠는가... 자신들의 사이트를 경유하여 방문할 경우 경유사이트에서 광고비가 누적되기 때문일 것이다...
툴바가 주소줄 하단에 표시하는 알림창 ...
<유포경로><2007.11.29>
참고링크 :
http://fantasy-actuality.tistory.com/184
2007/12/20 - [유포 정보/유포 프로그램] - Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >
1. 원닥터 < 2종이상의 애드웨어 설치자 / 허위보안제품> 에 의해 사용자 동의없이 설치됨.
원닥터 <Win-Doctor> 에 의해 생성되는 windoctorupdater.exe 과 jdnder.exe 은
특정파일을 다운로드 하고 2종이상의 애드웨어를 사용자 동의 없이 설치한다.
savemoneyshop <별칭 :세이브머니샵>를 설치하는 애드웨어 및 다운로더 진단상황
원닥터는 아래와 같이 진단된다. < 안철수 연구소 안티스파이웨어 진단상황 >
--> Win-Adware/Rogue.WinDoctor.726528
--> Win-Downloader/Rogue.WinDoctor.40960
--> jdnder.exe : Win-Trojan/Downloader.210944.B = 반영일 V3(2007.12.01.00)
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.11.29>
제작사 메인홈에 삭제 정보파일은 제공되지 않았다.
컴퓨터에 설치될 당시 생성된 삭제 정보 파일
제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> savemoneyshop <별칭 :세이브머니샵>
--> 제어판 추가삭제로 설치파일들 일부는 삭제되지만.. 즐겨찾기 목록과 버튼 목록은 삭제되지 않는다.. 즐겨찾기 는 직접삭제하여야 한다.
맘에 드는 목록은 나둬도 되지만.. 악성회사 돈 벌어주는 일이 된다..
왜 그런지는 위에 언급하였다..
브라우져에 등록된 버튼 및 도구 옵션은
삭제시 제거되지 않으므로 아래프로그램을 받아 직접삭제하십시오.
--> HijackThis - 보안툴 : http://fantasy-actuality.tistory.com/103
참조 그림 : 절대적인 것은 아니며, 유포시점에 따라 다를 수 있음.
익스플로어 추가기능관리 (BHO) 에 아래항목 등록
세이브머니샵 - {DAEFDC31-17CF-4B40-9BCA-6C996077E080}
- C:\Program Files\savemoneyshop\savemoneyshop.dll
Toolbar: 세이브머니샵 - {9694E4D6-1B0E-458C-8348-A295AC2E4977}
- C:\Program Files\savemoneyshop\savemoneyshop.dll
시작프로그램에 아래항목 등록
[savemoneyshop] C:\Program Files\savemoneyshop\savemonyshop.exe
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<설치 레지스터리 일부><2007.11.29>
--> 참고 정보 일뿐이지 무조건 삭제해야할 정보는 아님을 밝힙니다.
--> 레지스터리 는 잘못 수정할 경우 2차적인 문제가 생기므로 주의가 필요
HKEY_LOCAL_MACHINE\SOFTWARE\savemoneyshop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
savemoneyshop
시작 - 실행 - Regedit 를 입력후 레지스터리 편집기에서
찾기 옵션으로 Savemoneyshop / savemoneyshopinst / savemoneyshopgetinfo 을 찾아 삭제
<설치 폴더><2007.11.29>
c:\Documents and Settings\계정\Favorites\만화-영화
c:\Documents and Settings\계정\Favorites\오픈마켓
c:\Documents and Settings\계정\Favorites\운세-복권
c:\Documents and Settings\계정\Favorites\유아-아동용품-장난감
c:\Documents and Settings\계정\Favorites\인터넷-컴퓨터
c:\Documents and Settings\계정\Favorites\자동차-자동차 용품
c:\Documents and Settings\계정\Favorites\종합쇼핑몰
c:\Documents and Settings\계정\Favorites\취미-애견용품
c:\Documents and Settings\계정\Favorites\카드-보험
c:\Documents and Settings\계정\Favorites\컴퓨터-소프트웨어
c:\Documents and Settings\계정\Favorites\패션-잡화
c:\Documents and Settings\계정\Favorites\해외상품구매
c:\Documents and Settings\계정\Favorites\화장품-미용용품
이하 중략
입력일 : 2007.12.01
해당 애드웨어는 즐겨찾기 및 바탕화면에 특정사이트 바로가기를 생성하며,
브라우져에 특정 스폰서 사이트 바로가기 버튼을 생성한다.
주소줄 검색 을 가로채어 자신들의 스폰서를 홍보한다.
제작사 사이트를 방문해보니.. 전용삭제툴을 제공하지 않고 있었으며, 해당프로그램사용으로 발생하는 모든 문제에 대해 책임이 없다고 약관으로 명시하고 있었다..
설치도 지멋대로 문제는 책임 없다..;; 난감하다.
<그림1: 삭제프로그램 다운로드 링크라고 제시하고 재설치를 유도하는 모습>
아래 그림을 보면 삭제프로그램 다운받기 라는 항목을 제공하고 있다.
그러나 막상 클릭하면 아래 페이지로 이동하고 설치파일을 다운받아 재설치후 삭제하라고
하라는 설명문 페이지로 이동한다.. 결국 재설치를 유도하고 있다..
<그림2 :약관에 명시하고 있는 책임소지 없음 명시>
일부 내용이 짤렸지만.. 해당 프로그램 사용으로 발생하는 모든 문제는 당사 책임이 아니라고 명시하고 있다..
< 그림3 : 해당 툴바가 등록하는 즐겨찾기 와 버튼 >
브라우져에 자신들의 홍보하는 사이트를 직접 방문하도록 유도하는 버튼을 생성한다.
즐겨찾기에 다수의 홍보 링크를 등록한다
즐겨찾기 및 방문유도 버튼의 링크 모습 ... ilikeclick.com 를 경유하도록 되어 있다.
이유가 무엇이겠는가... 자신들의 사이트를 경유하여 방문할 경우 경유사이트에서 광고비가 누적되기 때문일 것이다...
툴바가 주소줄 하단에 표시하는 알림창 ...
<유포경로><2007.11.29>
참고링크 :
http://fantasy-actuality.tistory.com/184
2007/12/20 - [유포 정보/유포 프로그램] - Adware - Internet Explorer Guide V2 < 별칭 : 고툴바 / GO툴바 >
1. 원닥터 < 2종이상의 애드웨어 설치자 / 허위보안제품> 에 의해 사용자 동의없이 설치됨.
원닥터 <Win-Doctor> 에 의해 생성되는 windoctorupdater.exe 과 jdnder.exe 은
특정파일을 다운로드 하고 2종이상의 애드웨어를 사용자 동의 없이 설치한다.
savemoneyshop <별칭 :세이브머니샵>를 설치하는 애드웨어 및 다운로더 진단상황
원닥터는 아래와 같이 진단된다. < 안철수 연구소 안티스파이웨어 진단상황 >
--> Win-Adware/Rogue.WinDoctor.726528
--> Win-Downloader/Rogue.WinDoctor.40960
--> jdnder.exe : Win-Trojan/Downloader.210944.B = 반영일 V3(2007.12.01.00)
<아래 프로그램 삭제시 참고사항>
1>보안제품에서 진단하는 경우 잠시 실시간 감시를 해제후
--> 제어판 - 추가삭제에서 해당프로그램 삭제.
--> 보안제품에서 진단할경우 삭제에 방해를 받을 수 있습니다.
2> 삭제후 아래 제시된 설치폴더 정보를 참고하여 관련항목을 삭제.
3> 시작프로그램에 등록된 것중 의심스러운 것은 해제.
4> 정상적으로 삭제 되지 않을 경우
--> 사용중인 보안제품 회사에 문의후 도움 요청
--> 진단되는 안티스파웨어 제품으로 치료한다.
<설치정보><2007.11.29>
제작사 메인홈에 삭제 정보파일은 제공되지 않았다.
컴퓨터에 설치될 당시 생성된 삭제 정보 파일
invalid-file제어판 - 추가삭제 항목에서 아래 프로그램 목록을 확인할 수 있다.
--> savemoneyshop <별칭 :세이브머니샵>
--> 제어판 추가삭제로 설치파일들 일부는 삭제되지만.. 즐겨찾기 목록과 버튼 목록은 삭제되지 않는다.. 즐겨찾기 는 직접삭제하여야 한다.
맘에 드는 목록은 나둬도 되지만.. 악성회사 돈 벌어주는 일이 된다..
왜 그런지는 위에 언급하였다..
브라우져에 등록된 버튼 및 도구 옵션은
삭제시 제거되지 않으므로 아래프로그램을 받아 직접삭제하십시오.
--> HijackThis - 보안툴 : http://fantasy-actuality.tistory.com/103
참조 그림 : 절대적인 것은 아니며, 유포시점에 따라 다를 수 있음.
익스플로어 추가기능관리 (BHO) 에 아래항목 등록
세이브머니샵 - {DAEFDC31-17CF-4B40-9BCA-6C996077E080}
- C:\Program Files\savemoneyshop\savemoneyshop.dll
Toolbar: 세이브머니샵 - {9694E4D6-1B0E-458C-8348-A295AC2E4977}
- C:\Program Files\savemoneyshop\savemoneyshop.dll
시작프로그램에 아래항목 등록
[savemoneyshop] C:\Program Files\savemoneyshop\savemonyshop.exe
그레이웨어 무엇인지 아세여?
--> http://fantasy-actuality.tistory.com/23
보안제품은 보조수단이지 맹신은 금물..;;
--> http://fantasy-actuality.tistory.com/101
<설치 레지스터리 일부><2007.11.29>
--> 참고 정보 일뿐이지 무조건 삭제해야할 정보는 아님을 밝힙니다.
--> 레지스터리 는 잘못 수정할 경우 2차적인 문제가 생기므로 주의가 필요
HKEY_LOCAL_MACHINE\SOFTWARE\savemoneyshop
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
savemoneyshop
시작 - 실행 - Regedit 를 입력후 레지스터리 편집기에서
찾기 옵션으로 Savemoneyshop / savemoneyshopinst / savemoneyshopgetinfo 을 찾아 삭제
<설치 폴더><2007.11.29>
c:\Documents and Settings\계정\Favorites\만화-영화
c:\Documents and Settings\계정\Favorites\오픈마켓
c:\Documents and Settings\계정\Favorites\운세-복권
c:\Documents and Settings\계정\Favorites\유아-아동용품-장난감
c:\Documents and Settings\계정\Favorites\인터넷-컴퓨터
c:\Documents and Settings\계정\Favorites\자동차-자동차 용품
c:\Documents and Settings\계정\Favorites\종합쇼핑몰
c:\Documents and Settings\계정\Favorites\취미-애견용품
c:\Documents and Settings\계정\Favorites\카드-보험
c:\Documents and Settings\계정\Favorites\컴퓨터-소프트웨어
c:\Documents and Settings\계정\Favorites\패션-잡화
c:\Documents and Settings\계정\Favorites\해외상품구매
c:\Documents and Settings\계정\Favorites\화장품-미용용품
이하 중략
| c:\Documents and Settings\계정\바탕 화면 | |||
| 옥션.lnk | 2007-11-29 15:51.25 | 1,475 | |
| c:\Program Files\savemoneyshop | |||
| License.txt | 2007-09-01 21:42.36 | 4,500 | |
| savemoneyshop.dll | 2007-09-01 22:17.46 | 311,296 | |
| savemoneyshop.exe | 2007-10-27 10:24.34 | 28,672 | |
| savemoneyshopgetinfo.dll | 2007-09-01 22:17.28 | 77,824 | |
| savemoneyshopinst.dll | 2007-09-01 22:17.32 | 94,208 | |
| savemoneyshopno.dat | 2007-11-05 18:22.30 | 373 | |
| savemoneyshopok.dat | 2007-09-10 12:01.58 | 10,102 | |
| uninstall.exe | 2007-11-29 15:51.16 | 86,149 | |
| Update.ini | 2007-11-29 15:51.19 | 1,110 | |
| c:\WINDOWS | |||
| G마켓.ico | 2007-09-15 11:11.12 | 4,286 | |
| 옥션 바로가기.ico | 2007-11-21 11:57.48 | 6,518 | |