애드웨어 정보2014. 10. 24. 15:37

1. 애드웨어명 : Windows Frame Related



2. 설치 경로 : UtilChango 등에서 유포되는 프로그램 내에서 추가 업데이트 과정을 통해 유포가 이루어지는 것으로 확인이 된다.



3. Windows Frame Related 행위 정보


3-1. 해당 애드웨어는 아래의 경로에 파일 및 레지스트리를 생성하는 것으로 확인이 된다.


C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related\relatedframe.exe

C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related\relatedframem.exe

C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related\relatedframes.exe

C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related\relatedframe_unin.exe

C:\Users\(사용자 계정)\AppData\Local\RelatedFrame\temp

C:\Windows\rfstuptpm.exe

C:\Windows\Tasks\rfstuptpm.job

C:\Windows\System32\Tasks\rfstuptpm.job

C:\Windows\System32\drivers\relatedframe.sys


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\RFRAME

HKEY_CURRENT_USER\Software\RelatedFrame\data

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\RelatedFrame

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rf

HKEY_CURRENT_USER\Software\uninstall_RelatedFrame\uninstall


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"RFRAME"="\"C:\\Users\\(사용자 계정)\\AppData\\Roaming\\Windows Frame Related\\relatedframe.exe\"" 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\rfstuptpm

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\rfstuptpm

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\RelatedFrame

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\RelatedFrame



3-2. 해당 애드웨어는 시작 프로그램, 작업 스케줄러, 서비스를 통해 이루어지며, 특히 Window Related Frame라는 서비스로 설치된 프로그램 및 모듈 업데이트를 체크하는 것으로 확인이 된다.




3-3. 해당 애드웨어는 특정한 조건에서만 작동하기에 행위 파악이 어려우며, 추측컨데 광고 관련한 행위를 수행할 것으로 보인다.



4. Windows Frame Related 삭제 및 제거 정보


4-1. 제어판 프로그램 및 기능에서 Windows Frame Related 항목을 삭제한다. 만일 삭제가 이루어지지 않으면 아래의 경로에 존재하는 언인스톨 파일을 실행하여 삭제 진행한다.


C:\Users\(사용자 계정)\AppData\Roaming\Windows Frame Related\relatedframe_unin.exe



4-2. 4-1번을 통해 삭제를 했음에도 불구하고 삭제가 원활하지 않을 경우 Malware Zero Kit(말블라) 도구를 활용하여 삭제를 진행해본다.


http://cafe.naver.com/malzero/94376

Posted by Ec0nomist

댓글을 달아 주세요