본문 바로가기

avast!

벌새::Analysis 2013. 10. 28. 15:50 악성코드 제거 프로그램 : 브이닥터 프로(VDoctor Professional) + VPro Defender 보안 모듈 관리 도구 국내 (주)디바인미디어 업체에서 제공하는 유료 악성코드 제거 프로그램 "브이닥터 프로(VDoctor Professional) + VPro Defender 보안 모듈 관리 도구" 제품에 대해 살펴보도록 하겠습니다. ▷ 악성코드 치료 프로그램 : 브이닥터(VDoctor) (2009.12.27) ▷ 악성코드 제거 프로그램 : 브이닥터 프로(VDoctor Pro) (2012.1.7) 해당 프로그램은 기존의 브이닥터(VDoctor) 프로그램의 업데이트 버전으로 확인되고 있으므로 참고하시기 바랍니다. [테스트 환경] ◆ 운영 체제(OS) : Windows 7 SP1 ◆ 설치 파일(MD5) : 8f03f49b489ae8be55175226a681d629 - ESET : a variant of Win32/Adware.P..
벌새::Analysis 2013. 10. 27. 19:28 매직케어(MagicCare) 유해 사이트 차단 프로그램을 이용한 "MGCS System" 광고 주의 (2013.10.27) 다양한 배포 경로를 통해 설치가 이루어지는 유해 사이트 차단 프로그램 매직케어(MagicCare) 프로그램은 필수적으로 포함된 광고 기능으로 인하여 자동으로 광고창이 생성되는 문제를 유발하는 것으로 확인되고 있습니다. 특히 제어판에 등록된 "MGCS System" 삭제 항목을 통해 프로그램을 삭제하는 과정에서 오류가 발생하여 프로그램이 삭제되지 않는 문제로 인해 지속적인 수익 활동이 발생하므로 주의하시기 바랍니다. 대표적인 배포 방식을 살펴보면 블로그 또는 파일 자료실에 등록된 파일을 다운로드하여 실행하면 "초고속 다운로드 런쳐" 창을 생성하여 사용자의 눈에 보이지 않는 영역에 악성코드를 비롯한 다수의 제휴 프로그램을 등록하여 사용자의 실수를 통해 설치가 이루어지고 있습니다. 이 글에서는 매직케어(Mag..
벌새::Analysis 2013. 10. 16. 19:53 검색 도우미 : ISyncz 인터넷 검색시 자동으로 추가적인 광고창을 생성하는 검색 도우미 ISyncz 프로그램의 유포 방식과 동작에 대해 살펴보도록 하겠습니다. 대표적인 유포 방식은 국내 대부분의 광고 프로그램이 애용하는 대량의 스팸(Spam) 블로그를 통해 첨부 파일 또는 파일 자료실 관련 링크를 통해 설치 파일을 다운로드하도록 되어 있습니다. 그 중에서도 흥미로운 유포 방식으로는 블로그 첨부 파일을 비밀번호(1111)로 보호된 ZIP 압축 파일로 제작한 부분에 대해 살펴보도록 하겠습니다. 다운로드된 압축 파일(프로세스클린_다운.zip)을 해제할 때에는 블로그에서 제공하는 비밀번호(1111)를 입력하도록 되어 있으며, 이는 최초 파일을 다운로드할 때 보안 제품 또는 웹 브라우저에서 차단하는 것을 예방할 목적이 아닌가 싶습니다. ..
벌새::Analysis 2013. 10. 12. 21:19 개인정보 보안 솔루션 : 포인트보안(PointBoan) ● 최초 작성 : 2012년 6월 18일 ● 1차 수정 : 2013년 10월 12일 - 업체명 변경 및 전체 내용 수정 국내 (주)에이코리아 업체에서 제공하는 유료 개인정보 보안 솔루션 포인트보안(PointBoan) 프로그램에 대해 살펴보도록 하겠습니다. [테스트 환경] ◆ 운영 체제(OS) : Windows 7 SP1◆ 설치 파일(MD5) : 04f915cf5389ac7a42684b26d698b8e6 - AhnLab V3 : Malware/Win32.Generic (VT : 27/47) ※ 해당 프로그램은 배포 방식 및 컴퓨터 환경에 따라 프로그램 정보가 일부 다를 수 있습니다.※ 해당 내용은 게시글 작성일 기준이므로 차후 일부 내용이 변경될 수 있습니다. 1. 프로그램 설치 및 삭제 정보 1-1. 생..
벌새::Analysis 2013. 9. 6. 14:28 국내 악성코드 : shcpop 1.0 국내 인터넷 사용자를 대상으로 다양한 유포 경로를 통해 제휴(스폰서) 프로그램을 설치한 후 사용자 몰래 온라인 게임 정보를 수집할 목적으로 추가적인 악성코드를 감염시키는 사례가 광범위하게 발생하고 있습니다. 이번 사례는 2013년 5월~7월경에 활발하게 유포한 것으로 추정되는 "shcpop 1.0" 프로그램을 통해 일련의 유포 과정과 관련 정보를 공개하도록 하겠습니다. 대표적인 유포 방식으로는 블로그를 통해 사용자들이 많이 검색하는 프로그램의 설치 파일을 링크 방식으로 다운로드하도록 구성되어 있으며, 이를 통해 광고 프로그램 배포 목적으로 국내에서 운영되는 자료실 서버에서 파일을 받아옵니다. 다운로드된 파일을 실행하면 마치 Internet Explorer 웹 브라우저에서 제공하는 것처럼 구성된 다운로더 ..
벌새::Analysis 2013. 7. 31. 21:46 악성 파일로 설치되는 System Int Professional 프로그램 유포 주의 (2013.7.31) 2013년 7월 19일경부터 국내에서 제작된 악성 프로그램을 통해 사용자 몰래 설치가 이루어지고 있는 광고 기능이 추가된 유해 사이트 차단 기능을 가진 "인터넷프로(System Int Professional)" 프로그램에 대해 살펴보도록 하겠습니다. 우선 유포 방식을 살펴보면 2011년 전후부터 다양한 프로그램 설치 과정에서 추가적인 수익성 프로그램을 사용자 몰래 설치할 목적으로 제작된 악성코드와 깊은 연관성이 있습니다. ▷ 무료 문자 보내요(Boneyo) 프로그램을 이용한 악성코드 유포 (2011.5.17) ▷ 제휴(스폰서) 프로그램 : 컴오프(Comoff) 1.0 (2012.5.16) ▷ 용(龍)TV를 이용한 악성코드 유포 주의 (2012.6.28) ▷ 국내 악성코드 : FavorIcon (2013...
벌새::Analysis 2013. 7. 9. 12:54 제휴(스폰서) 프로그램 : Windows seconpageSetup 시스템 시작시 "정기 업데이트 설치" 창을 생성하여 다수의 수익성 프로그램의 설치 유도 및 웹 브라우저 실행시 "자주 방문하는 사이트(secondpage.co.kr/site.html)"를 홈 페이지에 추가하는 "Windows seconpageSetup" 프로그램(MD5 : 1a0cb374036503c2b9690ca5ea604318)에 대해 살펴보도록 하겠습니다. ▷ 제휴(스폰서) 프로그램 : Windows SeStPageSetup (2013.7.2) 해당 프로그램은 유사한 기능을 가진 "Windows SeStPageSetup" 프로그램의 변종이므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\seconpage C:\Program Files\seconpage\cns..
벌새::Analysis 2013. 7. 3. 15:42 알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3) 최근 유해 사이트 차단 프로그램으로 알려진 아이세이프플러스(iSafePlus) 프로그램이 설치되는 과정에서 사용자 몰래 "FGSVC32(freeguService32)" 서비스 항목을 등록하는 악성 행위에 대해 소개한 적이 있습니다. ▷ 국내 악성코드 : iSafePlus ver 2.0 (2013.6.30) 당시 분석 시점에서는 등록된 서비스를 통해 자동 실행된 "C:\Program Files\freegu\FGSVC32.exe" 파일(MD5 : e71a83b81b702faa3e183bfc1180ca51 - AhnLab V3 : Trojan/Win32.Agent (VT : 6/47))이 특정 서버에 등록된 freeguService.dat 값을 체크하는 부분에 대해서 언급을 하였지만, 실제적인 다운로드 등의 ..

티스토리툴바