1. 애드웨어명 : nskCapp
2. 설치 경로 : 다수의 제휴 프로그램을 설치하는 애드웨어 다운로더
3. nskCapp 행위 정보
3-1. 최초 애드웨어 다운로더 항목 중 [검색-유페이] 항목에서 dnurl값인 bton01setup.exe가 다운로드 되면서 추가적으로 nskSetup.exe 파일을 다운로드 한다.
C:\Windows\atin.ini
C:\Windows\nskSetup.exe
3-2. nskSetup.exe는 아래와 같은 분석 도구 및 PC방 프로세스를 체크하는데 만일 조건에 부합된다면 설치는 이루어지지 않는다.
C:\Program Files\Wireshark
C\Program Files\WinPcap
C:\Program Files(x86)\WinPcap
Sysinternal
Network Analysis
a-ton.co.kr/pcblist.dat에 존재하는 프로세스
3-3. 만일 조건에 부합되지 않는다면 Resource에 존재하는 압축파일을 아래의 경로에 생성 및 실행된다.
C:\Program Files\nskCapp
C:\Program Files\nskCapp\UnInstall.exe - 언인스톨 파일
C:\Program Files\nskCapp\nskCapp.exe - 애드웨어 프로세스
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\nskCapp
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
nskCapp = "C:\Program Files\nskCapp\nskCapp.exe" -sx
3-4. 실행 시 아래의 C&C와 연결이 이루어지면서 백그라운드에서 네이버 등의 포털 사이트에서 검색 순위 조작 행위를 수행한다.
boosboos99.pnsweb.net(183.90.188.37)
4. nskCapp 삭제 및 제거 정보 : 해당 애드웨어의 경우 아래의 경로에 존재하는 파일 및 레지스트리를 삭제한다.
C:\Program Files\nskCapp
C:\Program Files\nskCapp\UnInstall.exe
C:\Program Files\nskCapp\nskCapp.exe
C:\Windows\atin.ini
C:\Windows\nskSetup.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\nskCapp
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
nskCapp = "C:\Program Files\nskCapp\nskCapp.exe" -sx
'애드웨어 정보' 카테고리의 다른 글
| [Adware] BuzzCon 삭제 및 제거 정보 (0) | 2015.10.03 |
|---|---|
| [Adware] BSCheckIt2 삭제 및 제거 정보 (0) | 2015.09.20 |
| [악성] nskCapp 삭제 및 제거 정보 (0) | 2015.09.05 |
| 자극적인 이슈를 이용하는 국내 애드웨어 (0) | 2015.09.01 |
| Micro MatchTab for Win32 삭제 및 제거 정보 (0) | 2015.08.14 |
| [PUP] 급등주검색기 위너파인더(WinnerFinder) (0) | 2015.08.08 |
댓글을 달아 주세요