1. 애드웨어명 : infosearch 1.0
2. 유포 경로 : 특정 제휴 프로그램 다운로더에서 유포가 이루어지고 있음.
3. infosearch 1.0 행위 정보
3-1. 해당 애드웨어는 아래의 경로에 파일 및 레지스트리를 생성하며 사용자 계정 컨트롤 값을 '끄기'로 수정합니다. 그리고 infosearch 항목을 통해 윈도우 부팅시 자동 실행이 이루어집니다.
C:\Program Files\infosearch
C:\Program Files\infosearch\config.ini
C:\Program Files\infosearch\infosearch.exe
C:\Program Files\infosearch\install.ico
C:\Program Files\infosearch\uninst.exe
C:\Program Files\infosearch\updater.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\infosearch
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\infosearch.exe
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
infosearch = "C:\Program Files\infosearch\infosearch.exe" // 시작 프로그램 항목 생성
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
ConsentPromptBehaviorAdmin = "0"(기본값 : 5) // 사용자 계정 컨트롤 수정.
3-2. 해당 애드웨어는 Themida Protector을 사용하고 있는 관계상 동적 확인이 어렵습니다만 특정 분석 프로그램 실행시 기능 정지 및, 포털 사이트에서 특정한 키워드를 검색할 경우 광고 창을 띄우는 광고 행위를 수행하는 것으로 보여집니다.
3-3. 해당 애드웨어는 아래의 개발자 PDB 정보를 가지고 있습니다. 이를 통해 최소 윈도우 7 환경에서 Visual Studio 2010으로 제작했다는 점을 확인할 수 있습니다.
C:\Users\AppleCSY\Documents\Visual Studio 2010\Projects\infosearch\infosearch\obj\x86\Release\infosearch.pdb
3-4. C&C 정보는 아래와 같습니다.
49.238.168.30
'애드웨어 정보' 카테고리의 다른 글
| OneTrip 삭제 및 제거 정보 (0) | 2016.06.15 |
|---|---|
| MicroSearch Mapping Agents Program 삭제 및 제거 정보 (5) | 2016.05.26 |
| infosearch 1.0 삭제 및 제거 정보 (0) | 2016.04.02 |
| camhost service 삭제 및 제거 정보 (0) | 2016.03.31 |
| Microadpop 삭제 및 제거 정보 (1) | 2016.03.06 |
| Windows Application TopsAdon 삭제 및 제거 정보 (0) | 2016.02.26 |
댓글을 달아 주세요