(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

Adware/Cash5678

종류

adware

감염경로

다운로더

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

Adware/Cash5678는 다른 프로그램을 통해 다운되고
설치 과정에서도 설치과정을 표시 하지 않는 등 은폐적으로 설치되는 악성코드이다.
설치 이후, 최소한의 표시 이외에는 프로그램 설치를 알아볼수 없도록 하며,
사용자 동의 없이 웹사이트의 설정및 기본 기능을 변경 하는 악성코드이다.

이는
- 웹 브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위
- 정상 프로그램의 운영을 방해, 중지 또는 삭제 하는 행위
- 다른 프로그램을 다운로드 하여 설치하게 하는 행위
- 이용자가 프로그램을 제거하거나 종료시켜도 프로그램(당해 프로그램의 변종 프로그램도 포함)이 제거 되거나 종료되지 않는 행위

[생성 파일]
%system%\cash5678.dll
%system%\ShopPoint.dll
%prog%\Cash5678\*.*
%prog%\Cash5678

[생성 레지]
HKEY_CURRENT_USER\software\Cash5678
HKEY_CLASSES_ROOT\CLSID\{0019172F-D184-41b4-908B-16D16480B0BA}
HKEY_CLASSES_ROOT\TypeLib\{00F54A99-3A05-4F43-A360-65BEF36E0456}
HKEY_CLASSES_ROOT\Interface\{0080B59A-808F-4842-9F39-602D38F62F98}
HKEY_CLASSES_ROOT\MainBond.Cash5678
HKEY_CLASSES_ROOT\MainBond.Cash5678.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1111111111
HKEY_*_*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Cash5678

경로는 아래를 참조 한다.
%windows%
c:\windows
%program%
C:\Documents and Settings\(username)\시작 메뉴\프로그램
%system%
C:\windows\system32
%prog%
C:\Program Files
%currentuser%
C:\Documents and Settings\(username)
%startmenu%
C:\Documents and Settings\(username)\시작 메뉴
사용자 동의없이 BHO로 설치되어 사용자 키워드를 감시하는 애드웨어이다.

Adware/Toolbar.Supreme

종류

adware

감염경로

ActiveX

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

Adware/Toolbar.Supreme는 ActiveX 형식을 취해 사용자에게 설치를 유도하고,
설치 과정에서도 설치과정을 표시 하지 않는 등 은폐적으로 설치되는 악성코드이다.
설치 이후, 최소한의 표시 이외에는 프로그램 설치를 알아볼수 없도록 하며,
사용자 동의 없이 웹사이트의 설정및 기본 기능을 변경 하는 악성코드이다.

이는
1. 웹 브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위
2. 이용자가 프로그램을 제거하거나 종료시켜도 프로그램(당해 프로그램의 변종 프로그램도 포함)이 제거 되거나 종료되지 않는 행위

[생성 파일]
%program%\recent\ssupreme.lnk
%prog%\supreme toolbar\cache\highlight.bmp
%prog%\supreme toolbar\cache\home.bmp
%prog%\supreme toolbar\cache\logo.bmp
%prog%\supreme toolbar\cache\pop_on.bmp
%prog%\supreme toolbar\cache\search.bmp
%prog%\supreme toolbar\cache\spamarrest.bmp
%prog%\supreme toolbar\cache\supremetb0300.cfg
%prog%\supreme toolbar\cache\tools.bmp
%prog%\supreme toolbar\uninstall.exe
%prog%\supreme toolbar\cache
%prog%\supreme toolbar
%windows%\ssupreme.exe

[생성 레지]
HKEY_CURRENT_USER\software\supreme toolbar
HKEY_CLASSES_ROOT\CLSID\{4e7bd74f-2b8d-469e-d7f3-fa7ea480a97d}
HKEY_CLASSES_ROOT\CLSID\{4e7bd74f-2b8d-469e-d7f3-fa7ea480a97e}
HKEY_CLASSES_ROOT\CLSID\{4e7bd74f-2b8d-469e-d7f3-fa7ea480a97f}
HKEY_CLASSES_ROOT\supreme.supreme
HKEY_CLASSES_ROOT\supreme.supreme.1
HKEY_CLASSES_ROOT\supreme.suprememenu button
HKEY_CLASSES_ROOT\supreme.suprememenu button.1
HKEY_CLASSES_ROOT\supreme.supremetoggle button
HKEY_CLASSES_ROOT\supreme.supremetoggle button.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\supreme
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\supreme toolbar
HKEY_*_*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run supreme

경로는 아래를 참조 한다.
%windows%
c:\windows
%program%
C:\Documents and Settings\(username)\시작 메뉴\프로그램
%system%
C:\windows\system32
%prog%
C:\Program Files
%currentuser%
C:\Documents and Settings\(username)
%startmenu%
C:\Documents and Settings\(username)\시작 메뉴
사용자 동의없이 BHO로 설치되어 사용자 키워드를 감시하는 애드웨어이다.

Adware/Findnavi

종류

adware

감염경로

다운로더

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

Adware/Findnavi는 다운로더에 의해서 설치되는 악성코드로,
설치 후에 Internet Explorer에 추가되어 사용자의 검색 정보를 변경하는 행위를 하며,
주소표시 줄 변경를 불 가능하도록 만드는 악성코드이다.

이는
1. 웹 브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위
2. 정상 프로그램의 운영을 방해, 중지 또는 삭제 하는 행위
3. 다른 프로그램을 다운로드 하여 설치하게 하는 행위
4. 이용자가 프로그램을 제거하거나 종료시켜도 프로그램(당해 프로그램의 변종 프로그램도 포함)이 제거 되거나 종료되지 않는 행위

[생성 파일]
%windows%\install.exe
%windows%\findnavi.exe
%windows%\unfnd.exe
%windows%\unfnnsub.exe
%prog%\findnavi\fndnv.dll
%prog%\findnavi\fndsub.dll

[생성 레지]
HKEY_CURRENT_USER\software\1111111111
HKEY_CLASSES_ROOT\CLSID\{23267422-A6C8-4af4-B2C3-9369041CF552}
HKEY_CLASSES_ROOT\CLSID\{15829F9F-C9B7-41f5-B20F-360ACC60324F}
HKEY_CLASSES_ROOT\TypeLib\{C8EBE6EC-2D9A-4E6F-AFB2-1AC8A1AB2BC8}
HKEY_CLASSES_ROOT\TypeLib\{93325A53-3806-4FBF-8A6D-9AB58BB0BB63}
HKEY_CLASSES_ROOT\Interface\{1EB8B796-B55C-437F-BB13-D8311E2B2429}
HKEY_CLASSES_ROOT\Interface\{850C7C97-F5BE-454B-8528-11FE5877C4AB}
HKEY_CLASSES_ROOT\San.sae
HKEY_CLASSES_ROOT\San.sae.1
HKEY_CLASSES_ROOT\NCTbar.CBNTbar
HKEY_CLASSES_ROOT\NCTbar.CBNTbar.1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\searchtemp
HKEY_*_*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run searchtemp

경로는 아래를 참조 한다.
%windows%
c:\windows
%program%
C:\Documents and Settings\(username)\시작 메뉴\프로그램
%system%
C:\windows\system32
%prog%
C:\Program Files
%currentuser%
C:\Documents and Settings\(username)
%startmenu%
C:\Documents and Settings\(username)\시작 메뉴
사용자 동의없이 BHO로 설치되어 사용자 키워드를 감시하는 애드웨어이다.

에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com

| 21

| 22

| 23

| 24

| 25

| 26

| 27

| 28

| 29

| 30