애드웨어 정보2015.03.10 19:18

국내에 뿌리는 애드웨어를 좀 보다가 국내 쪽 애드웨어를 취급하는 블로거들을 나름대로 분석한 정황이 확인되어 아래와 같이 간략히 작성하는 바이다. 현재 국내에서 애드웨어를 다루는 블로거, 일단 벌새님과 나(그렇게는 아니지만), 그리고 현재 바이러스 제로 시즌2에서 ViOLeT 매니저님이 말블라(mzk)이라는 배치 스크립트 도구 및 RunScanner를 상당히 의식하고 있다. 



>> 국내 백신 및 분석 도구 및 가상 환경 관련 경로 탐지


C:\Program Files\Wireshark\Wireshark.exe

C:\Program Files (x86)\Fiddler2\Fiddler.exe

C:\Program Files\Fiddler2\Fiddler.exe

c:\program files\ida\ida.exe

C:\Program Files(x86)\ida\ida.exe

C:\Program Files\trend micro\rubotted\rubotsrv.exe

C:\Program Files (x86)\trend micro\rubotted\rubotsrv.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

c:\Program Files\Sysinternals\Process Explorer\procexp.exe

c:\Program Files (x86)\Sysinternals\Process Explorer\procexp.exe

C:\Program Files\RootkitRemover\rootkitremover.exe

C:\Program Files (x86)\RootkitRemover\rootkitremover.exe

C:\Program Files (x86)\Microsoft Virtual PC\Virtual PC.exe

C:\Program Files\Microsoft Virtual PC\Virtual PC.exe

C:\Program Files\Oracle\VirtualBox\VirtualBox.exe

C:\Program Files (x86)\Oracle\VirtualBox\VirtualBox.exePC\Virtual PC.exe

c:\program files (x86)\WMware\VMware Workstation\vmware-vdiskmanager.exe

c:\program files\WMware\VMware Workstation\vmware-vdiskmanager.exe



>> 설치 완료시 차단 대상 사이트


http://www.police.go.kr/main.html

http://cyberbureau.police.go.kr/

http://www.wwwcap.or.kr/

http://cyber112.police.go.kr/cyber112/main.do

http://www.nuricops.org/

http://www.boho.or.kr/

http://spam.kisa.or.kr/kor/main.jsp

http://privacy.kisa.or.kr/kor/main.jsp

http://www.krcert.or.kr/

https://www.ecmc.or.kr/home.it

http://hummingbird.tistory.com 

http://www.windowexe.com/

http://windowexe.tistory.com/

http://www.spamcop.or.kr/

http://www.singo.or.kr/

http://intumyself.tistory.com/

http://www.ahnlab.com/kr/site/support/notice/noticeList.do

http://alyac.altools.co.kr/Customer/CS/Notice.aspx

http://tools.naver.com/service/vaccine#secufityNotice

https://www.viruschaser.com/02_center/center01_board_lst.jsp

http://www.nprotect.com/v7/cs/sub.html?mode=notice

http://www.ahnlab.com/kr/site/support/virus/virus.do

http://alyac.altools.co.kr/Customer/CS/Report.aspx

https://help.naver.com/support/contents/contents.nhn?serviceNo=1037&categoryNo=10248

https://www.viruschaser.com/03_security/security05.jsp

http://www.nprotect.com/v7/cs/sub.html?mode=virus

http://alyac.altools.co.kr



>> 도박 게임 계열 탐지


C:\Hangame\KOREAN\Baduki.exe

C:\Hangame\KOREAN\poker7.exe

C:\NEOWIZ\PMang\baduki\Baduki.dll

C:\Neowiz\Pmang\newhighlow\NewHighLow.dll

C:\Neowiz\Pmang\poker\Poker.dll

C:\Program Files (x86)\OlympicGame\Poker.exe

C:\Program Files\OlympicGame\Poker.exe

C:\Program Files (x86)\HEROGAMEH\Poker.exe

C:\Program Files\HEROGAMEH\Poker.exe

C:\Program Files (x86)\HEROGAMEJ\Poker.exe

C:\Program Files\HEROGAMEJ\Poker.exe



>> 국내 백신 탐지


C:\Program Files\AVAST Software\Avast\AvastSvc.exe

C:\Program Files\AVAST Software\Avast\avastui.exe

C:\Program Files\ESTsoft\ALYac\AYAgent.aye

C:\Program Files\ESTsoft\ALYac\AYRTSrv.aye

C:\Program Files\ESTsoft\ALYac\AYUpdSrv.aye

C:\Program Files\AhnLab\V3Lite30\V3Lite.exe

C:\Program Files\Daum\Cleaner\DaumCleaner.exe

C:\Program Files\naver\NaverVaccine\NVCAgent.npc

C:\Program Files\naver\NaverVaccine\nsvmon.npc

C:\Program Files\naver\NaverVaccine\Nsavsvc.npcC:\Program Files (x86)\AVAST Software\Avast\AvastSvc.exe

C:\Program Files (x86)\AVAST Software\Avast\avastui.exe

C:\Program Files (x86)\ESTsoft\ALYac\AYAgent.aye

C:\Program Files (x86)\ESTsoft\ALYac\AYRTSrv.aye

C:\Program Files (x86)\ESTsoft\ALYac\AYUpdSrv.aye

C:\Program Files (x86)\AhnLab\V3Lite30\V3Lite.exe

C:\Program Files (x86)\Daum\Cleaner\DaumCleaner.exe

C:\Program Files (x86)\naver\NaverVaccine\NVCAgent.npc

C:\Program Files (x86)\naver\NaverVaccine\nsvmon.npc

C:\Program Files (x86)\naver\NaverVaccine\Nsavsvc.npc

C:\Program Files\AhnLab\V3IS80\V3SP.exe

C:\Program Files (x86)\AhnLab\V3IS80\V3SP.exe



>> 실행 중인 분석 도구 등의 프로그램 탐지


ntmacc.exe

pcwc_ag.exe

pcwc.exe

UPM.exe

dlc.exe

dlx5.exe

dlxsvc.exe

gtlexp.exe

OLLYDBG.EXE

runscanner.exe

mzk.bat

picavncsvc.exe

WindowexeLogMail.exe

WindowexeLog.exe

WindowexeAllkiller.exe

WindowexeFFkillerAdd.exe

WindowexeFFkiller.exe

Regshot-x64-ANSI.exe

Regshot-x64-Unicode.exe

Regshot-x86-ANSI.exe

Regshot-x86-Unicode.exe



Posted by Ec0nomist

댓글을 달아 주세요

  1. 대놓고 나 악성이오~ 하는군요.

    2015.03.10 20:03 [ ADDR : EDIT/ DEL : REPLY ]
  2. 미스트님 때문일 듯..ㅋㅋ

    2015.03.10 20:47 신고 [ ADDR : EDIT/ DEL : REPLY ]
  3. Runscanner까지 차단하다니 ㄷㄷ 국내 보안커뮤니티의 영향이 ㄷ

    2015.03.10 21:40 신고 [ ADDR : EDIT/ DEL : REPLY ]
  4. SSoGari Studio

    관리자의 승인을 기다리고 있는 댓글입니다

    2015.03.10 21:40 [ ADDR : EDIT/ DEL : REPLY ]