애드웨어 정보2015. 9. 1. 13:01

이거 임시저장해두고 글을 안썼네.. 하여간 최근 이슈가 된 강용석, 개리 등의 나름대로의 유명인사를 이용하거나 혹은 리퍼트 피습사건 등의 이슈를 이용해 애드웨어를 유포하려는 놈들이 있다. 


현재까지 확인된 정보에는 '개리 동영상', '강용석 동영상', '이시영 동영상', '리퍼트 피습사건 동영상', '채림 녹취록 동영상', '호날두 베일 패드립영상', '예원 이태임 원본영상', '몸에좋은남자 1화' 등의 파일명을 가진 exe 실행파일이 있다. 이들은 아래와 같이 'sonakbee Co., Ltd라는 디지털 서명을 가지고 있다. 얘네들은 활동한지 좀 됬다.





해당 파일은 7-Zip SFX으로 되어져 있고 파일 실행시 아래와 같이 SnbMedia 창이 나타나면서 동영상을 이용해 추가 애드웨어를 다운받으려고 한다.




<과거 유포 변종>


실행시 ep486. 한밤의 TV 연예_썸남썸녀 송지효 강개리 유투브 페이지를 띄우며, 사용자 몰래 아래의 경로에 파일 및 레지스트리를 생성하며, 사용자가 인터넷 익스플로러를 통해 웹 서핑 간 특정 팝업창을 생성할 수 있다.




C:\Program Files\SnbMedia

C:\Program Files\SnbMedia\Uninstall.exe  -  삭제 기능

C:\Program Files\SnbMedia\Uninstall.ini - 삭제 정보

C:\Program Files\SnbMedia\searchlink.exe - 모듈 로드용

C:\Program Files\SnbMedia\searchsnb.exe - 업데이트 모듈

C:\Program Files\SnbMedia\snbmediadn.exe - SnbMedia 애드웨어 설치 파일

C:\Program Files\SnbMedia\winsearch.dll  - 애드웨어 모듈(MicroOpenPop 모듈?)


HKEY_CURRENT_USER\Software\searchsnb

HKEY_CURRENT_USER\Software\wins2

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\

searchsnb = "1"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

managerlink = "C:\Program Files\SnbMedia\searchsnb.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

searchlink = "C:\Program Files\SnbMedia\searchlink.exe"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SnbMedia



추가로 동일 사이트에서 불과 1주일 전쯤에 유포된 동영상은 SearchNet라는 이름으로 애드웨어 설치가 이루어졌다. 비교해보면 타 애드웨어 모듈을 가져온점?


C:\Program Files\SearchNet

C:\Program Files\SearchNet\Uninstall.exe - 삭제 파일

C:\Program Files\SearchNet\Uninstall.ini

C:\Program Files\SearchNet\searchnet.exe - 애드웨어 기능

C:\Program Files\SearchNet\usearchnet.exe - 업데이트 파일

C:\Program Files\SearchNet\utildownload.exe - 애드웨어 설치 파일

C:\Windows\snbsetup.exe


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

searchnet = "C:\Program Files\SearchNet\searchnet.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

usearchnet = "C:\Program Files\SearchNet\usearchnet.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\searchnet 1

HKEY_CURRENT_USER\Software\searchnet

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchNet


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SearchNet




해당 애드웨어의 삭제는 프로그램 및 기능에서 SnbMedia을 삭제하면 되며, 얼마든지 다양한 이슈를 이용해 애드웨어를 유포가 가능하니 주의.


C:\Program Files\SnbMedia\Uninstall.exe 



참조


http://blog.ahnlab.com/ahnlab/2051

http://hummingbird.tistory.com/4285

Posted by Ec0nomist

댓글을 달아 주세요