본문 바로가기

검색 도우미

벌새::Analysis 2013. 2. 28. 00:16 "toastpop 버전 1.0.0.1" 검색 도우미에 추가된 루트킷(Rootkit) 악성코드 (2013.2.28) 국내에서 유명한 게임 최적화 관련 프로그램 서버쪽에서 발견된 검색 도우미 프로그램 내부에 루트킷(Rootkit) 기반으로 동작하는 악성 파일이 있는 것으로 확인되고 있습니다. ▷ 토스트팝(ToastPop) 광고 프로그램으로 위장한 악성코드 유포 주의 (2012.11.25) 특히 해당 검색 도우미 프로그램은 2012년 11월 하순경에도 토스트팝(ToastPop) 설치 파일로 변조된 사례(toastpop_004.exe)가 있었으며, 이번에 발견된 파일은 그 이전에 제작된 버전으로 추정됩니다. 특히 해당 파일은 설치시 "toastpop 버전 1.0.0.1" 검색 도우미 프로그램이 실제 설치되는 과정에서 사용자 몰래 악성 파일을 설치하는 동작이 확인되고 있습니다. 이번 배포 파일(toastpop_001.exe ..
벌새::Analysis 2013. 2. 26. 14:01 국내 악성코드 : KeywordYac 2012년 4월경 최초 확인되었던 PCYac 검색 도우미 프로그램과 함께 설치되던 KeywordYac 프로그램이 최근 악성 파일을 통해 사용자 몰래 설치되는 부분이 확인되었습니다. ▷ [삭제] PCYac + KeywordYac (2012.4.18) 이번 유포 사례의 경우에는 최종적으로 설치된 KeywordYac 검색 도우미 프로그램은 제어판을 통한 삭제 기능을 제공하고 있지만, 배포 및 설치 과정이 사용자 동의없이 악의적으로 이루어지고 있으므로 주의가 요구됩니다. 다양한 수익성 프로그램을 사용자 몰래 설치할 목적으로 제작된 "C:\Program Files\ipjdpig\ipjdpig.dll" 파일(MD5 : f120831dfab9d822419569e0fd0bba35)은 시스템 시작시 특정 서버로부터 다음..
벌새::Analysis 2013. 2. 25. 14:58 제휴(스폰서) 프로그램 : Toppilot 시스템 시작시 자동 실행되어 추가적인 업데이트 체크를 하는 "Toppilot" 프로그램(MD5 : 3168386cd5128d4d97b8be49290fb53d)에 대해 살펴보도록 하겠습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\Toppilot C:\Program Files\Toppilot\Toppilot.exe :: 시작 프로그램 등록 파일 C:\Program Files\Toppilot\uninstall.exe :: 프로그램 삭제 파일 [생성 파일 진단 정보] C:\Program Files\Toppilot\uninstall.exe - MD5 : d6b23450b409f68b85c3777b972c291c - AhnLab V3 : PUP/Win32.Enumerate (VirusTo..
벌새::Analysis 2013. 2. 25. 13:46 검색 도우미 : Topspace4 Windows IE Platform 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Topspace4 Windows IE Platform" 프로그램(MD5 : 43e6599708c2f0af92b0444d69e1f1be)에 대해 살펴보도록 하겠습니다. ▷ 검색 도우미 : Topspace Windows IE Platform (2012.7.23) ▷ 검색 도우미 : Topspace2 Windows IE Platform (2012.12.29) ▷ 검색 도우미 : Topspace3 Windows IE Platform (2013.2.10) 해당 프로그램은 탑스페이스(TopSpace) 변종 프로그램이므로 기존의 정보도 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\TopSpace4 C:\Program Fi..
벌새::Analysis 2013. 2. 19. 14:57 다운로드 도우미 : 캣유틸(CatUtil) 다양한 블로그를 개설하여 인터넷 검색을 통해 접속한 사용자들이 링크를 통해 다운로드된 파일을 실행시 사용자 몰래 "캣유틸(CatUtil)" 프로그램 설치 및 추가적인 수익성 프로그램의 설치를 유도하는 방식에 대해 살펴보도록 하겠습니다. 일반적으로 파일 배포 방식은 다음(Daum) 블로그를 통해 활발하게 이루어지고 있으며, 그림과 같은 패턴으로 프로그램 설치 파일을 다운로드 링크를 통해 받을 수 있도록 작성되어 있습니다. 다운로드된 파일(MD5 : 0d9ce4fd5602b1cf83acc24c73376327)의 특징은 디지털 서명이 "mediasave" 서명자가 포함되어 있습니다. ▷ 다운로드 도우미 : 탑유틸(TopUtil) (2012.10.31) 이는 기존에 소개한 "탑유틸(TopUtil)" 다운로드 도..
벌새::Analysis 2013. 2. 18. 19:32 검색 도우미 : ndiskdown 1.00 시스템 시작시 웹하드 광고창이 생성되어 회원 가입을 유도하는 "ndiskdown 1.00" 광고 프로그램(MD5 : 880dcd8f35dba6c12ef27d59630c91df)에 대해 살펴보도록 하겠습니다. ▷ 가짜 "라리사 알몸 말춤" 영상을 이용한 Fileocean 유포 주의 (2012.12.21) 해당 프로그램은 인터넷 상에서 이슈가 되는 동영상을 볼 수 있는 파일로 위장한 파일을 실행시 추가 설치될 수 있는 것으로 추정되며, 안랩 클라우드(AhnLab Cloud) 기준으로 2013년 2월 12일경부터 배포가 이루어지고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Documents and Settings\(사용자 계정)\바탕 화면\엔디스크 무료다운.lnk C:\Program Files\ndis..
벌새::Analysis 2013. 2. 18. 16:32 제휴(스폰서) 프로그램 : Windows newtype admatbu x86 윈도우즈 업데이트(Windows Update) 프로그램으로 사용자를 속여 특정 시점에서 시스템 시작 중 업데이트 창을 생성하여 추가적인 수익성 프로그램의 설치를 유도하는 "Windows newtype admatbu x86" 프로그램(MD5 : 77fd89d90ba2ed682a25cf90295a7db7)에 대해 살펴보도록 하겠습니다. ▷ 국내 악성코드 : ezpopup code wepbob x86 (2012.12.21) 외 다수 ▷ 제휴(스폰서) 프로그램 : Windows barocon (2013.1.8) ▷ 제휴(스폰서) 프로그램 : Windows updatime (2013.1.19) ▷ 제휴(스폰서) 프로그램 : Windows poezall (2013.1.22) 해당 프로그램은 2012년 전후부터 다양..
벌새::Analysis 2013. 2. 15. 15:06 검색 도우미 : WinKey 사용자 검색 키워드 값을 참조하여 웹 브라우저 좌측에 사이드바 광고를 생성하는 검색 도우미 WinKey 프로그램에 대해 살펴보도록 하겠습니다. WinKey 프로그램의 설치 파일(MD5 : 4f1342c4de101f5be6a148d2fa40986b)은 2012년 4월 9일경부터 확인되고 있으며, AhnLab V3 보안 제품에서는 PUP/Win32.NBiz (VirusTotal : 17/46) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : 사이드온(SideOn) (2010.10.5) ▷ 국내 악성코드 : JSide (2010.10.11) ▷ 검색 도우미 : EasyOn (2011.8.20) ▷ 검색 도우미 : WinPro (2012.3.21) 해당 프로그램과 연관성이 있는 다수의 검색 도우미 프로그램이 ..

티스토리툴바