본문 바로가기

avast!

벌새::Analysis 2013. 6. 21. 14:14 검색 도우미 : HipPop 인터넷 검색시 추가적인 광고창을 생성하며, 시스템 시작시 "Software Update" 창을 생성하여 다수의 수익성 프로그램의 설치를 유도하는 검색 도우미 HipPop 프로그램에 대해 살펴보도록 하겠습니다. 우선 해당 프로그램의 배포 방식을 살펴보면 블로그 또는 인터넷 게시판을 통해 진격의 거인 애니메이션을 볼 수 있는 것처럼 홍보하여 토렌트(Torrent) 파일인 것처럼 다운로드를 유도하는 것으로 추정됩니다. 참고로 확인된 배포 파일([Zero-Raws]+Shingeki+01~09+(MBS+1280x720)_torrent.exe / MD5 : b646233b634593d4e80699021c589d1d)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.MulDown (VT : 9/47) 진..
벌새::Analysis 2013. 5. 6. 12:35 국내 악성코드 : FavorIcon 2013년 1월~2월경 국내에서 제작된 인터넷 쇼핑몰 바로가기 아이콘 생성 프로그램 FavorIcon을 이용하여 사용자 몰래 악성 프로그램을 추가로 설치하여 다양한 수익성 프로그램을 유포하던 사례에 대해 살펴보도록 하겠습니다.(※ 해당 내용은 2013년 초에 발생한 유포건에 대한 내용입니다.) 특히 해당 사례를 최근(2013년 5월 3일) 비슷한 방식으로 변종 프로그램을 재배포하고 있는 것으로 확인되고 있으므로 피해가 예상됩니다. ▷ 제휴(스폰서) 프로그램 : Xecure speller Application (2012.9.5) 유포처로 활용된 곳은 국내에서 제작된 "Xecure speller Application" 프로그램이 설치된 환경에서 업데이트 창을 통해 설치될 수 있는 수익성 프로그램 중 "Fav..
벌새::Analysis 2013. 4. 6. 19:20 검색 도우미 : Windows Internet displaylink 웹 브라우저 상단에 광고바를 생성하며, 시스템 시작 및 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "Windows Internet displaylink" 프로그램(MD5 : bad249fa26d2463549af4d1535f3f1a5)에 대해 살펴보도록 하겠습니다. ▶ 검색 도우미 : Windows Onestep System - onestep (2011.11.22) 외 1종 ▶ 검색 도우미 : 웹코어스(WebCores) - media help webcores (2012.11.17) 외 9종 해당 프로그램과 유사성이 강한 다수의 검색 도우미 프로그램들이 존재하였으므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\displaylink C:\Program Fi..
벌새::Analysis 2013. 4. 6. 14:14 개인정보 보안 솔루션 : 보안클럽(BoanClub) 국내 SE통신 업체에서 제공하는 유료 개인정보 보안 솔루션 보안클럽(BoanClub) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일에 대하여 avast! 보안 제품에서는 Win32:FakeAV-CFI [Trj] (VT : 10/46) 진단명으로 진단되고 있습니다. ▷ 개인정보 보안 솔루션 : 컴보호(ComBoho) (2012.12.11) 또한 보안클럽(BoanClub) 공식 홈 페이지는 개별적으로 존재하지 않으며, 기존의 컴보호(ComBoho) 홈 페이지로 연결이 이루어지고 있으므로 참고하시기 바랍니다. [테스트 환경] ◆ 운영 체제(OS) : Windows XP SP3◆ 설치 파일(MD5) : 09b77b0787953bc202101cdaa1640a27 ※ 해당 프로그램은 배포 방식 ..
벌새::Analysis 2013. 4. 5. 21:03 국내 악성코드 : Mscryp Control 즐겨찾기와 명령 모음에 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 특정 웹 사이트 방문시 제휴 코드가 추가될 수 있는 검색 도우미 "Mscryp Control" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 배포 파일(MD5 : 71b482b954863bc7707167f934ab595c)은 "Gongkam" 디지털 서명이 포함되어 있으며, AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VT : 24/46) 진단명으로 진단되고 있습니다. ▶ 검색 도우미 : Windows Plus (2012.12.11) 외 10종 ▷ [삭제] Rundownplay (2013.1.1) ▷ [삭제] Windowsoffice (2013.1.2) ▷ [삭제] Microsofts Winsrv64 (201..
벌새::Security 2013. 3. 25. 23:32 avast! 오진 : 아프리카TV(afreecaTV) - Win32:PUP-gen [PUP] (2013.3.25) 해외 무료 백신으로 유명한 avast! 보안 제품에서 인터넷 개인 방송 아프리카TV(afreecaTV) 프로그램의 삭제 파일(Uninstall.exe)을 Win32:PUP-gen [PUP] 진단명(엔진 및 바이러스 패턴 : 130325-0)으로 오진하는 문제를 확인하였습니다. C:\Program Files\afreeca\Uninstall.exe (MD5 : 9a75c729880116e9a5037d61a3ded371) - avast! : Win32:PUP-gen [PUP] (VirusTotal : 2/45) 사용자가 avast! 보안 제품의 "PUP 및 의심 파일 → 잠재적 원치않는 프로그램(PUP) 검사" 설정을 ON(기본값 : OFF)한 상태로 이용할 경우, 실시간 보호 또는 수동 검사를 통해 아프리카..
벌새::Analysis 2013. 3. 21. 22:24 국내 악성코드 : Winsearch - Winsearchex 인터넷 검색시 "열린 주소창 검색(dns3.ktguide.com)"으로 연결 및 백그라운드 검색을 시도하는 검색 도우미 "Winsearch - Winsearchex" 프로그램에 대해 살펴보도록 하겠습니다.해당 프로그램은 2012년 10월 29일경 최초 배포가 확인되었으며, 설치 파일(MD5 : ebe82d0847c01df04c349ab64a78ae98)에 대하여 AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VirusTotal : 32/45) 진단명으로 진단되고 있습니다. ▶ 검색 도우미 : isearchplus 1.00 (2011.12.30) 외 4종 ▶ 검색 도우미 : Winsearch (2012.12.27) 외 15종 ▷ 검색 도우미 : Gmadsearch 1.00 (2013.3..
벌새::Analysis 2013. 3. 11. 11:54 국내 온라인 게임을 표적으로 한 Windows appcon(remove data) 프로그램 유포 주의 (2013.3.11) 최근 확인되지 않은 특정 프로그램이 설치된 환경에서 추가적인 다운로드를 통해 사용자 몰래 "Windows appcon(remove data)" 프로그램을 설치하여 온라인 게임을 표적으로 한 악성 프로그램을 설치하는 행위가 확인되고 있습니다. 유포에 활용되는 IP 서버(1.***.83.**)는 국내에 위치하고 있으며, 해당 서버에서 받아오는 파일(MD5 : 7b8bc55be7e828c51d4c5bb5135a2deb)을 통해 "Windows appcon(remove data)" 프로그램이 설치되도록 되어 있습니다. 참고로 해당 파일은 2013년 2월 20일경부터 유포가 확인되고 있으며, BitDefender 보안 제품에서는 Gen:Variant.Graftor.70979 (VirusTotal : 19/46) ..

티스토리툴바