(주)에브리존 :: 바이러스 · 악성코드 없는 세상

에브리존소개 | 제품소개 | 고객센터 | 사이트맵 |

Home

보안접속	ID저장

회원가입 | ID&비번찾기

AD 무료로 책받아가세요!

nCase

종류

adware

감염경로

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

nCase 또는 n-Case로 불리우며 180Solution의 애드웨어이다.
또한 Gator 애드웨어의 정보수집 서버와 관련이 있는 것으로 보여 사용자 정보수집을 하는 것으로 추측된다.

Active-X 컨트롤을 통해 설치되며, 윈도우 시스템 폴더
(xp : c:\windows\systme32, 2000/NT : c:\winnt\systme32, 98/me : c:\windows\system)에 msbb.exe 파일을 생성한다.

이 애드웨어는 wininet.dll 파일과 연계 되어 페이지 오류 및 익스플로러의 실행 속도를 떨어뜨리는 오동작을 일으킬 수 있다.

또한 바탕화면에 아이콘을 추가 할 수 있으며, 익스플로러를 실행 하면 팝업광고창을 일정 시간 동안 띄우게 된다.

또한 다음과 같이 레지스트리를 생성한다.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CureentVersion\Run

항목에

(windows xp의 경우) msbb : c:\windows\systme32\msbb.exe

(98/me 의 경우) msbb : c:\windows\systme\msbb.exe

(2000/NT의 경우)msbb : c:\winnt\system32\msbb.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\nCASE,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Uninstall\msbb
HKEY_CURRENT_USER\Software\180solutions

Onban

종류

adware

감염경로

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

광고용 목적으로 작성된 애드웨어 프로그램으로 자체 버그로 인해 win9x(95/98/me) 운영체제에서 부팅이 안되는 증상이 발생 하고 있다.

가장 큰 증상으로 감염 후, 윈도우즈가 부팅되지 않으며,실행 파일이 실행 될때 열려져 있는 explorer 의 창이 차례로 닫히는 증상이 있다.

또한, 잘못된 레지스트리의 값으로 다음의 오동작이 발생한다.

1. IE(인터넷 익스플로러) 초기 화면이 나온다(혹은 about:blank).
2. IE(인터넷 익스플로러) 가 실행안될 수도 있다.
3. 일부 확장자의 파일들이 오픈되지 않는다.
3. 일부 win9x의 경우 윈도우 부팅이 되지 않을 수 있다.
4. 바탕화면의 폰트 크기가 작아진다.
5. 웹페이지의 Link 및 팝업 창이 실행 되지 않는다.

해당 에드웨어가 전파되는 과정은 현재 확인되고 있지 않으나 웹을 통한 설치는 일반적으로 Active-X 컨트롤을 이용한 방법을 통해 설치된다.

비인증 컨트롤은 업체명만 나와 있거나 컨트롤을 인증 한 업체명이 없는 경우가 대부분이며 광고용 모듈과 각종 스팸메일에서 띄우는 컨트롤은 이렇게 인증을 받지 않은 경우가 많으므로 취소 버튼을 눌러 프로그램 설치를 거부 해야 한다.

파일 크기는 종류마다 다르며 현재 신고된 샘플을 기준으로 보면 c:\windows 와 c:\winnt 폴더에 다음과 같은 파일을 생성한다.

onban001.exe : 언인스톨 파일(28,672 byte)
onban001.dll : 애드웨어 DLL 모듈 추정(73,728 byte)
ob2.dat : 암호화된 광고 데이터코드
ob2.dll : 애드웨어 DLL 모듈(인터넷 익스플로어 실행시 자동으로 로드된다. )
ob4.dat : 암호화된 광고 데이터코드
ob4.dll : 애드웨어 DLL 모듈(인터넷 익스플로어 실행시 자동으로 로드된다.)

Winshow

종류

adware

감염경로

치료방법

에브리존 제품군으로 진단/치료 가능합니다.

증상

Browser Helper Object를 이용하는 애드웨어로 이 기능을 이용하면 익스플로러에 툴바가 생성된다.

BHO는 익스플로러를 실행할때 같이 실행되게 만드는 일종의 플러그 인 프로그램으로 인터넷 익스플로러나 윈도우즈 탐색기 실행시 프로세스를 거의 100% 씩 차지하면서 늦게 실행되는 경우가 발생하기도 한다.

특정싸이트를 타겟광고 시키는 특징이 있으며 윈도우 시스템 폴더 (xp : c:\windows\systme32, 2000/NT : c:\winnt\systme32, 98/me : c:\windows\system)에 winshow.dll, 윈도우즈 폴더에 winshow.cfg, dict.dat 파일을 생성한다.

에브리존에서 제공하는 모든 컨텐츠 정보에 대한 저작권은 에브리존의 소유이며 관련법의 보호를 받습니다.
에브리존의 사전 허가 없이 에브리존 컨텐츠를 무단으로 전재, 배포를 금지되어 있습니다.
이를 위반하는 경우 손해배상의 대상 또는 민.형사상의 법적 소송 대상이 될 수 있습니다.
* 에브리존 정보 이용 문의 : greenking@everyzone.com

| 41

| 42

| 43

| 44

| 45

| 46

| 47

| 48