애드웨어 정보2016. 4. 2. 16:19

1. 애드웨어명 : infosearch 1.0



2. 유포 경로 : 특정 제휴 프로그램 다운로더에서 유포가 이루어지고 있음.



3. infosearch 1.0 행위 정보



3-1. 해당 애드웨어는 아래의 경로에 파일 및 레지스트리를 생성하며 사용자 계정 컨트롤 값을 '끄기'로 수정합니다. 그리고 infosearch 항목을 통해 윈도우 부팅시 자동 실행이 이루어집니다.


C:\Program Files\infosearch

C:\Program Files\infosearch\config.ini

C:\Program Files\infosearch\infosearch.exe

C:\Program Files\infosearch\install.ico

C:\Program Files\infosearch\uninst.exe

C:\Program Files\infosearch\updater.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\infosearch

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\infosearch.exe


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

infosearch = "C:\Program Files\infosearch\infosearch.exe" // 시작 프로그램 항목 생성


HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

ConsentPromptBehaviorAdmin = "0"(기본값 : 5)  // 사용자 계정 컨트롤 수정.


3-2. 해당 애드웨어는 Themida Protector을 사용하고 있는 관계상 동적 확인이 어렵습니다만 특정 분석 프로그램 실행시 기능 정지 및, 포털 사이트에서 특정한 키워드를 검색할 경우 광고 창을 띄우는 광고 행위를 수행하는 것으로 보여집니다.






3-3. 해당 애드웨어는 아래의 개발자 PDB 정보를 가지고 있습니다. 이를 통해 최소 윈도우 7 환경에서 Visual Studio 2010으로 제작했다는 점을 확인할 수 있습니다.


C:\Users\AppleCSY\Documents\Visual Studio 2010\Projects\infosearch\infosearch\obj\x86\Release\infosearch.pdb


3-4. C&C 정보는 아래와 같습니다.


49.238.168.30




4. infosearch 1.0 삭제 및 제거 정보 : 해당 프로그램은 제어판 프로그램 및 기능에서 'infosearch 1.0'을 삭제하시면 되겠습니다.








Posted by Ec0nomist

댓글을 달아 주세요