| 국내에서 제작되어져 대형 포털 사이트에서 쇼핑 관련 키워드 검색 시 광고성 행위를 통하여 수익을 발생시키는 프로그램인 truepod 에 대하여 살펴보겠습니다. |
| 악성파일 정보 |
 |
| 해당 파일은 카스퍼스키 보안제품에서 Trojan-Downloader.Win32.Agent.tmsd 명으로 진단하고 있습니다. |
| 생성파일 정보 |
| C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe - 시작프로그램 등록 C:\Documents and Settings\(사용자계정)\바탕 화면\truepod.dll - 메모리 상주 및 BHO 등록 |
| 레지스트리 정보 |
| [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] truepodv3="C:\Documents and Settings\(사용자계정)\바탕 화면\truepods.exe" ..(생략) |
| 사용자가 웹브라우져를 실행하면 turepod.dll 이 iexplorer.exe 프로세스에 로드되면서 사용자가 특정키워드를 검색 시 광고성 행위를 수행합니다. |
| 사용자가 옥션 키워드를 검색 후 클릭 시 위 이미지 처럼 광고성 행위를 수행 후에 옥션 페이지로 리다이렉트 하고 있습니다. 또한 인터넷 익스플로러 추가기능 관리에 BHO로 등록이 되어 있습니다. |
| 제거방법 |
| 해당 프로그램은 설치 형태가 아니기 때문에 직접 파일을 찾아 제거해야하는 번거러움이 있습니다. 프로세스가 사용중이기 때문에 삭제가 되지 않기 때문에 안전모드로 부팅하여 삭제하는 방법이 있으나 재부팅이 귀찮으신 분들은 아래 방법으로 제거하시면 됩니다. 1. CMD 창을 띄워 truepod.dll 을 사용하는 프로세스를 확인합니다. |
| 2. Windows 작업관리자에서 해당 프로세스의 PID값을 확인하여 동일한 PID값을 가진 프로세스를 종료합니다. 작업관리자에서 PID를 확인하는 방법은 [보기] --> [열선택] --> [PID(프로세스 식별자)] 란을 체크하여야합니다. |
| 3. 해당 프로세스 종료 후 악성프로그램을 제거합니다. |
| ※ 만약 explorer.exe 프로세스에 truepod.dll 이 로드가 되어 종료하였다면 당황하지 마시고 cmd 창에 explorer.exe 를 입력하시면 정상적으로 화면이 복구됩니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 검색도우미 :: Onbar (2) | 2011.12.05 |
|---|---|
| [악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19) (4) | 2011.11.23 |
| [악성코드분석] 검색도우미 :: SponsorMatch (0) | 2011.10.31 |
| [악성코드분석] 스마트보안 :: SmartBoan (0) | 2011.10.28 |
| 유해사이트 차단 프로그램 :: 안전지대 (SafeTerra) (0) | 2011.10.26 |