본문 바로가기

regedit

벌새::Analysis 2013. 6. 13. 22:05 국내 악성코드 : brainclan CP 바탕 화면, 즐겨찾기 영역에 "서치바이미" 바로가기 아이콘을 등록하며, 사용자 몰래 백그라운드 방식으로 인터넷 검색을 시도하는 "brainclan CP" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : fb9ec482ae3bcc0e39bc5070734ca22c)은 2013년 4월 29일경부터 배포가 확인되고 있으며, AhnLab V3 보안 제품에서는 Downloader/Win32.Genome (VT : 33/47) 진단명으로 진단되고 있습니다. ▷ 국내 악성코드 : IntoTheMap Plus CP IE Helper (2012.4.18) 또한 기존의 "IntoTheMap Plus CP IE Helper" 악성 프로그램과 유사성이 있으므로 참고하시기 바랍니다. [생성 폴더 / ..
벌새::Analysis 2013. 6. 11. 16:44 제휴(스폰서) 프로그램 : Window SoftwareUpdate 시스템 시작시 "소프트웨어 업데이트(Software-Update)" 창을 생성하여 사용자의 부주의한 동의를 얻어 다수의 수익성 프로그램을 설치할 목적으로 배포되고 있는 "Window SoftwareUpdate" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 7525c86c8f9e4ffc49e6a3340ec28aed)에 대하여 AhnLab V3 보안 제품에서는 Win-PUP/Helper.SoftwareUpdate.127000 (VT : 17/47) 진단명으로 진단되고 있습니다. ▶ 제휴(스폰서) 프로그램 : 인터넷 시스템(Internet System) (2012.2.12) 외 4종 ▷ 제휴(스폰서) 프로그램 : 마이크로서비스(Microservice) (2013.3.7) ▷ 제..
벌새::Analysis 2013. 6. 5. 17:06 [삭제] FlashLinker 빠른 실행, 즐겨찾기, 바탕 화면에 바로가기 아이콘을 등록하며, 프로그램 삭제시 정상적으로 삭제되지 않고 지속적인 수익 활동을 하는 검색 도우미 FlashLinker 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : a751c4108b89c79ebc99cca55e7c3537)에 대하여 Hauri ViRobot 보안 제품에서는 Adware.Agent.126992.B (VT : 8/47) 진단명으로 진단되고 있습니다. ▷ [삭제] 엔터링(Entering) (2012.11.7) 또한 기존의 유사한 기능을 가진 엔터링(Entering) 프로그램이 존재하였으므로 참고하시기 바랍니다. [생성 폴더 / 파일 등록 정보] C:\Documents and Settings\(사용자 계정)\Appl..
벌새::Analysis 2013. 6. 5. 14:52 다운로드 도우미 : DownHelper 웹 브라우저를 이용하여 파일 다운로드 과정에서 생성되는 다운로드 도우미 DownHelper 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 184f07e69cfbc686d078a4d7547f0b60)에 대하여 Kaspersky 보안 제품에서는 HEUR:Trojan-FakeAV.Win32.Onescan.gen (VT : 11/47) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Program Files\downhelper C:\Program Files\downhelper\downhelper.exe :: 프로그램 실행 파일 C:\Program Files\downhelper\downhelperlauncher.dll C:\Program Files\downhel..
벌새::Analysis 2013. 5. 23. 20:30 국내 악성코드 : IniCD - ENICD 추가적인 다운로드 및 특정 검색 키워드를 백그라운드 방식을 이용하여 포털 사이트 게시글의 검색 순위를 조작하는 것으로 추정되는 IniCD 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 203546aada31aba51e9f11165a6b305b)에 대하여 AhnLab V3 보안 제품에서는 Adware/Win32.KorAd (VT : 5/46) 진단명으로 진단되고 있습니다. ▶ 이니텍(INITECH) 프로그램으로 위장한 IniCert 프로그램 유포 주의 (2012.12.28) 외 6종 ▷ 국내 악성코드 : InICD (2013.1.18) ▷ 국내 악성코드 : RealWeb (2013.3.24) 위와 유사성이 강한 다수의 프로그램들이 2011년경부터 지속적으로 발견되고 있으므로 ..
벌새::Analysis 2013. 4. 5. 21:03 국내 악성코드 : Mscryp Control 즐겨찾기와 명령 모음에 인터넷 쇼핑몰 바로가기 아이콘을 등록하며, 특정 웹 사이트 방문시 제휴 코드가 추가될 수 있는 검색 도우미 "Mscryp Control" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 배포 파일(MD5 : 71b482b954863bc7707167f934ab595c)은 "Gongkam" 디지털 서명이 포함되어 있으며, AhnLab V3 보안 제품에서는 Trojan/Win32.ADH (VT : 24/46) 진단명으로 진단되고 있습니다. ▶ 검색 도우미 : Windows Plus (2012.12.11) 외 10종 ▷ [삭제] Rundownplay (2013.1.1) ▷ [삭제] Windowsoffice (2013.1.2) ▷ [삭제] Microsofts Winsrv64 (201..
벌새::Analysis 2013. 3. 28. 13:29 검색 도우미 : INIWebLink 인터넷 검색시 추가적인 광고창을 생성하는 검색 도우미 "INIWebLink" 프로그램(MD5 : c40bf2d513cd8d6bbc1004e12b76f986)에 대해 살펴보도록 하겠습니다. [생성 폴더 / 파일 등록 정보] C:\Documents and Settings\All Users\Application Data\iniweblink C:\Documents and Settings\All Users\Application Data\iniweblink\uninstall.exe :: 프로그램 삭제 파일 C:\Documents and Settings\All Users\Application Data\iniweblink\weblink.exe :: 메모리 상주 프로세스 C:\Documents and Settings\A..
벌새::Analysis 2013. 3. 26. 23:21 [삭제] 스마트모드(SmartMode) 웹 브라우저의 명령 모음에 인터넷 쇼핑몰 관련 툴바(Toolbar)를 생성하며, 시스템 시작시 추가적인 수익성 프로그램을 설치할 수 있는 "스마트모드(SmartMode)" 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 설치 파일(MD5 : 2afb74164428cbc0fae674f3bb4e1901)에 대하여 AhnLab V3 보안 제품에서는 PUP/Win32.SmartMode (VirusTotal : 30/46) 진단명으로 진단되고 있습니다. ▷ 검색 도우미 : 스마트모드(SmartMode) (2011.7.18) 또한 2011년경부터 스마트모드(SmartMode) 프로그램은 존재하였으며, 현재는 파일 구성 일부가 변경되어 프로그램 삭제시 정상적으로 삭제되지 않는 부분이 확인되고 있습니다. [생성..

티스토리툴바