애드웨어 정보2015. 10. 3. 14:20

1. 애드웨어명 : BuzzCon



2. 설치 경로 : 미상



3. BuzzCon 정보



3-1. 해당 애드웨어는 INSAFE 애드웨어 조직의 변종 애드웨어로 암호화된 값을 서버로 전송합니다.


C:\ProgramData\BuzzCon\buzzcons.exe

C:\ProgramData\BuzzCon\buzzcon.exe

C:\ProgramData\BuzzCon\buzzconm.exe

C:\ProgramData\BuzzCon\buzzcon_unin.exe

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk


HKEY_CURRENT_USER\Software\buzzcon\data

HKEY_CURRENT_USER\Software\uninstall_buzzcon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe /run"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe /run"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\buzzcon

HKEY_CURRENT_USER\SOFTWARE\Microsoft\bc


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\bccbxswsm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bccbxswsm



3-2. 서비스의 경우 기존에는 %WINDIR%에 생성하였으나 이번에는 별도의 파일 생성 없이 BuzzCon 폴더 내에서 buzzconm.exe 파일이 Buzzcon Service(bccbxswsm)이라는 서비스명으로 실행됩니다.




3-3. 해당 애드웨어에서 아래와 같은 개발자 PDB 정보가 확인이 되었습니다.


D:\myprj\buzzcon\bin\buzzcon_unin.pdb

D:\myprj\buzzcon\bin\buzzcon.pdb
D:\myprj\buzzcon\bin\buzzconm.pdb
D:\myprj\buzzcon\bin\buzzcons.pdb



4. BuzzCon 삭제 및 제거 정보 : 해당 애드웨어의 경우 아래의 경로에 존재하는 파일 및 레지스트리를 삭제해보시기 바랍니다. 


C:\ProgramData\BuzzCon\

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\buzzcon.lnk


HKEY_CURRENT_USER\Software\buzzcon\data

HKEY_CURRENT_USER\Software\uninstall_buzzcon

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe /run"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

BUZZCON = "C:\ProgramData\BuzzCon\buzzcon.exe /run"

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\buzzcon

HKEY_CURRENT_USER\SOFTWARE\Microsoft\bc


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\bccbxswsm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\bccbxswsm


Posted by Ec0nomist

댓글을 달아 주세요