애드웨어 정보2016.08.12 14:46

1. 애드웨어명 : Network Application Express



2. 설치 경로 : 특정 제휴 프로그램 다운로더에서 설치가 이루어진다.



3. 행위 정보


3-1. 해당 프로그램은 C&C로부터 애드웨어 동작을 수행할 실행 파일 및 모듈들을 다운로드한다. 그리고 아래의 경로에 파일 및 레지스트리를 생성한다.


C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express

C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\Network Application Express Agent.exe

C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\Network Application Express.exe

C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\smartpush.dll

C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\uninst.exe

C:\Windows\System32\Tasks\express_agent

C:\Windows\System32\Tasks\express_client


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

express_agent = "C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\Network Application Express Agent.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

express_client = "C:\Users\(사용자 계정)\AppData\Roaming\Network Application Express\Network Application Express.exe"

HKEY_CURRENT_USER\Software\express


3-2. 해당 프로그램은 애드웨어 동작에 대한 조건, 가령 키워드, 사이트를 만족할 경우 헝그리앱 광고창을 띄운다. 


3-3. 해당 프로그램에서 확인된 PDB 정보는 아래와 같다. 그리고 자신의 프로그램을 다수의 변종이 존재하는 럭키툴의 후속작이라 말하고 있다.


C:\Users\JUNG WOO AHN\Desktop\Network Application Express\res\nae\Release\nae.pdb

C:\Users\JUNG WOO AHN\Desktop\Network Application Express\res\naeagent\Release\Network Application Express Agent.pdb



4. Network Application Express 삭제 및 제거 정보 : 해당 프로그램은 제어판 프로그램 및 기능에서 삭제가 가능하다.



Posted by Ec0nomist

댓글을 달아 주세요