|
국내에서 만들어진 악성코드 치료 프로그램인 비즈백신 (BizVaccine)에 대하여 살펴보겠습니다. 테스트 프로그램은 비즈백신 사이트에서 배포하는 파일이 아닌 제휴업체에서 배포하는 프로그램으로 작성하였습니다. - 제휴사에서 배포중인 설치 파일 (top는 제휴사 ID로 추정됨, 정상파일시 ID는 bizvaccine임)  해당파일은 카스퍼스키 보안제품에서 Trojan.Win32.FakeAV.emgs 진단명으로 진단하고 있습니다. 정상적인 설치 파일과는 다르게 설치 과정이 사용자에게 보여지지 않는 것으로 보아 다른 프로그램 설치 시 제휴 프로그램으로 설치가 될 것으로 예상이 됩니다. |
| URL 정보 |
|
hxxp://www.bizvaccine.co.kr/APP/pf_ck.php?v1=top (제휴사이름으로 추정) |
| 생성파일 / 폴더 |
| C:\Program Files\bizvaccine C:\Program Files\bizvaccine\bizvaccine.exe (프로그램실행파일) C:\Program Files\bizvaccine\bizvaccined.dll C:\Program Files\bizvaccine\bizvaccinestart.exe (프로세스 상주 파일) C:\Program Files\bizvaccine\bizvaccineu.exe (업데이트파일) C:\Program Files\bizvaccine\EGutil.dll C:\Program Files\bizvaccine\uninst_bizvaccine.exe (프로그램삭제파일) C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine C:\Documents and Settings\All Users\시작 메뉴\프로그램\bizvaccine\bizvaccine.lnk |
| 생성레지스트리 |
|
[HKCU\Software\Microsoft\Internet Explorer] |
| 제휴사에서 배포하는 프로그램은 설치여부를 사용자가 인지하지 못하도록 하기위해 설치 후 실행되지 않고 재부팅 후에 실행되도록 동작합니다. 프로그램 옵션에 윈도우 시작시 실행되도록 체크가 되어 있으며 정상적인 파일은 기본적으로 체크가 해제 되어 있습니다.
 또한 시작 프로그램으로 등록이 된 PC는 윈도우 재부팅 시 악성코드 검사가 이루어집니다. 사용자가 환경설정에서 [윈도우 부팅시 실행] 체크를 해제 하기 전까지 매 부팅시마다 검사가 이루어져 사용자에게 불편을 주고 있습니다. |
| 검사 후 악성코드가 발견이 되면 치료를 위한 결제창이 띄워지며 결제 시 악성코드를 치료하도록 되어 있습니다. 결제 후 사용자의 별도 해지 요청이 없을 시 자동 연장되기 때문에 사용자의 주의가 필요합니다. |
| 프로그램 삭제 방법 |
| 해당 프로그램을 사용하길 원치 않으신 분들은 [제어판] --> [프로그램추가/제거] 에서 해당 목록을 삭제하시면 됩니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] VSLay.dll :: 국내 온라인 게임 계정 탈취 목적의 악성코드 (0) | 2011.10.13 |
|---|---|
| [정보] 파일쿡에서 제공하는 프로그램 설치 시 주의할 점 (0) | 2011.10.07 |
| [악성코드분석] 검색도우미 :: FineTop (4) | 2011.09.30 |
| 태그를 이용한 javascript 난독화 분석 방법 (1) | 2011.09.30 |
| [정보] 디스크매니아, 알약코리아에서 제공하는 프로그램 설치 시 주의할 점 (0) | 2011.09.23 |