애드웨어 정보2014. 9. 10. 15:24

1. 애드웨어명 : TargetService



2. Targetservice 설치 경로 : 정확하게 파악이 되지 않았으나 INSAFE에서 제공하는 제휴 프로그램 다운로더에서 불명확한 사용자의 동의를 토대로 설치가 이루어지거나 혹은 INSAFE의 추가 업데이트시 recom.exe를 통해 설치가 이루어질 것으로 보인다.




3. Targetservice 정보


3-1. 해당 프로그램은 분석을 방해하기 위해 다수의 분석 도구 및 가상 환경과 관련된 파일 및 레지스트리를 탐지하여 존재시 설치가 정상적으로 이루어지지 않는다. 따라서 본인은 파일 및 레지스트리 생성 정보 정도만 언급하고자 한다.



3-2. 아래의 경로에 파일 및 레지스트리를 생성한다. 다만 수집된 정보라 일부 누락이 되었고, 더불어 변종에 따라 서비스명이 변경될 수도 있다.


C:\Users\Test\AppData\Local\WindowTargetService\

C:\Program Files\WindowTargetService\targetservice.exe

C:\Program Files\WindowTargetService\targetservice_unin.exe

C:\Program Files\WindowTargetService\targetservicem.exe

C:\Program Files\WindowTargetService\targetservices.exe

C:\Windows\System32\drivers\targetservice.sys

C:\Windows\tsstuptpm.exe

C:\Windows\Tasks\tsstuptpm.job

C:\Windows\System32\Tasks\tsstuptpm


HKEY_LOCAL_MACHINE\Software\WindowTargetService\data

HKEY_CURRENT_USER\Software\WindowTargetService\data

HKEY_LOCAL_MACHINE\Software\uninstall_WindowTargetService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WindowTargetService

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ts

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

TGSERV = "경로 불명"

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\tsstuptpm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\tsstuptpm

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\targetservice
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\targetservice



3-3. 해당 애드웨어는 시작 프로그램 항목과 더불어 'Window Target Service''라는 항목으로 윈도우 부팅시 자동실행이 된다.



3-4. 해당 애드웨어는 INSAFE 변종 중 WinProvider와 상당한 유사성을 가지고 있다.



4. Targetservice 삭제 및 제거 정보 : 해당 프로그램은 제어판 프로그램 및 기능에서 Targetservice를 삭제한다. 만일 존재하지 않는 경우 아래의 경로에 존재하는 언인스톨 파일을 실행하여 삭제한다.


C:\Program Files\WindowTargetservice\targetservice_unin.exe


만일 삭제가 이루어지지 않을 경우 네이버 카페 '바이러스 제로 시즌2' 매니저 ViOLeT님이 제작한 Malware Zero Kit 배치스크립트 보조도구를 활용하여 삭제를 진행한다.


http://cafe.naver.com/malzero/94376

Posted by Ec0nomist

댓글을 달아 주세요