애드웨어 정보2015. 11. 14. 15:20

1. 애드웨어명 : ViewExp for Windows


2. 설치 경로 : 미상



3. ViewExp for Windows 정보



3-1. 해당 애드웨어는 INSAFE 애드웨어 조직의 변종 애드웨어로 아래의 경로에 파일 및 레지스트리를 생성하며 시작 프로그램 및 서비스 동작으로 자동 실행이 됩니다. 


C:\ProgramData\viewexp\viewexa.exe

C:\ProgramData\viewexp\viewexps.exe

C:\ProgramData\viewexp\viewexpm.exe

C:\ProgramData\viewexp\viewexp_unin.exe

C:\ProgramData\viewexp\viewexp.exe

C:\Windows\veevuptpm.exe


C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\viewexp.lnk

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\viewexa.lnk


HKEY_CURRENT_USER\Software\uninstall_viewexp

HKEY_CURRENT_USER\Software\viewexp

HKEY_LOCAL_MACHINE\Software\viewexp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ve

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"VIEWEXP"="C:\ProgramData\viewexp\viewexp.exe" /run" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"VIEWEXP"="C:\ProgramData\viewexp\viewexp.exe" /run" 



HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\veevuptpm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\veevuptpm


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viewexp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viewexp





3-2. 해당 애드웨어에서 아래와 같은 개발자 PDB 정보가 확인이 되었습니다.


D:\myprj\viewexp\bin\viewexp_unin.pdb

D:\myprj\viewexp\bin\viewexpm.pdb

D:\myprj\viewexp\bin\viewexps.pdb

D:\myprj\viewexp\bin\viewexp.pdb

D:\myprj\viewexp\bin\viewexa.pdb



4. ViewExp for Windows 삭제 및 제거 정보 : 해당 애드웨어의 경우 아래의 경로에 존재하는 파일 및 레지스트리를 삭제해보시기 바랍니다.  혹은 http://cafe.naver.com/malzero/94376의 MZK 도구를 이용^^


C:\ProgramData\viewexp\

C:\Windows\veevuptpm.exe (변종마다 파일이름이 다르나 패턴은 동일)


C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\viewexp.lnk

C:\Users\(사용자 계정)\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\viewexa.lnk


HKEY_CURRENT_USER\Software\uninstall_viewexp

HKEY_CURRENT_USER\Software\viewexp

HKEY_LOCAL_MACHINE\Software\viewexp

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ve

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

"VIEWEXP"="C:\ProgramData\viewexp\viewexp.exe" /run" 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"VIEWEXP"="C:\ProgramData\viewexp\viewexp.exe" /run" 


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\veevuptpm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\veevuptpm


HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viewexp

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\viewexp

Posted by Ec0nomist

댓글을 달아 주세요