| 국내에서 제작되어져 포털사이트에서 특정 키워드를 검색 시 상단에 광고 툴 바가 생성되며 특정 쇼핑몰 접속 시 광고주 사이트가 새창으로 노출되는 onBar 프로그램에 대하여 살펴보겠습니다. 카스퍼스키 보안제품에서는 Trojan-Downloader.Win32.Adload.cg ik 명으로 진단하고 있습니다. |
| 생성파일 정보 |
| C:\Program Files\onBar\onbar.zip - 압축파일 C:\Program Files\onBar\onbar.dll - 메모리 상주 / BHO 등록 C:\Program Files\onBar\onuninstall.exe - 프로그램 삭제 C:\Program Files\onBar\onupdate.exe - 시작프로그램 등록 |
| 레지스트리 정보 |
| [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ="C:\Program Files\onBar\onupdate.exe" |
| 시작프로그램으로 등록이 되어 자동 실행시 버전 확인 후 실행 되도록 하고 있습니다. |
| onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. |
| onbar.dll 파일이 메모리에 상주하고 있으며, BHO로 등록되어 있는 것을 확인 할 수 있습니다. 사용자가 인터넷 익스플로러를 실행하여 특정 포털사이트 접속 시 상단 광고 바가 생성되어 다양한 광고를 노출시킵니다. |
| 특정 키워드 검색 시 새창으로 광고 사이트가 추가적으로 팝업되고 있습니다. |
| 제거 방법 |
| [제어판] -> [프로그램 추가/제거] 에서 onBar 를 삭제하시면 됩니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 원격 조정가능한 악성파일 (0) | 2012.01.25 |
|---|---|
| [악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드 (0) | 2012.01.02 |
| [악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19) (4) | 2011.11.23 |
| [악성코드분석] 검색도우미 :: truepod (0) | 2011.11.21 |
| [악성코드분석] 검색도우미 :: SponsorMatch (0) | 2011.10.31 |