'허위안티스파이웨어'에 해당되는 글 2건

  1. 2008.07.24 [허위보안제품] WinSpywareProtect
  2. 2007.06.11 허위 안티스파이웨어 설치하는 다운로더 (1)
WinSpywareProtect는 허위안티스파이웨어 제품으로 실행하면 제품을 설치하는 화면을 보여주며 파일을 다운로드한다.


WinSpywareProtect InstallerWinSpywareProtect Installer


WinSpywareProtect 폴더에 파일이 생성되며 파일명은 wspwprtc.exe 이다.

제품이 실행되면 가짜 진단결과가 나온다. 이 제품 역시 치료(제거)를 선택하면 제품 구매를 요구한다.

WinSpywareProtect WinSpywareProtect


Posted by mstoned7

댓글을 달아 주세요

주로 보는 샘플이 악성코드(바이러스, 웜, 트로이목마)이다보니 스파이웨어(애드웨어, 허위 안티 스파이웨어 포함)쪽은 크게 신경을 쓰지 못하는데 마침 다운로더 하나를 보게되었는데 이 샘플이 바로 허위 안티스파이웨어 제품을 사용자 몰래 설치하는 프로그램이다.

사용자 삽입 이미지

허위 안티스파이웨어 제품 다운로드


배포 제휴 업체에서 제작한 프로그램으로 보이며 해당 업체에 파트너 ID 와 설치된 시스템 MAC 어드레스를 보낸다.
(껀당 얼마인지 ?! 그리고 맥어드레스를 넘기는건 좀 심한거 아닌가 ?!)

사용자 삽입 이미지


그래. 백번 양보해서 설치된 안티 스파이웨어 제품 성능이라도 좋다면 .....

설치되자마자 자동으로 실행된다.

사용자 삽입 이미지

사용자 삽입 이미지

조금 시간 지나니까 악성코드 감염되었다며 당장 치료하라고 난리 난리 쳤다.
그런데....

검사 내역을 확인했다.

ADW-Win32.Alexa : 윈도우 설치하면 자동으로 설정되는 값이다. 모든 시스템에 다 있는 값으로 사용자들이 일반적으로 생각하는 광고창 뜨는 애드웨어와는 상관없다.

DoS.Win32.ARPKiller.13 (시스템 폴더 packet.dll) : 이 파일은 패킷 캡쳐 관련 파일. 왜 진단했는지 알 수 없지만 내가 보기에는 오진

L0phtcrack 4.0 (시스템 폴더 wpcap.dll) : 역시 패킷 캡쳐 관련 파일. 왜 진단했는지 알 수 없지만 내가 보기에는 오진

Win32.Backdoor.Jeem : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Welcome 값을 진단
왜 진단했을까 ? 이값도 윈도우 설치하면 기본으로 있는 값이 아닐지...

결국 윈도우 기본 설정 1개, 오진 2개, 미심쩍은 진단 1개
총 4개를 진단했다.

결제는 휴대폰 결제, ARS 결제가 있었다.

문제는 이런게 법적으로 문제가 없다는 거다. 에효....


Posted by mstoned7

댓글을 달아 주세요

  1. 진샘나미 2007.11.13 09:19 신고  댓글주소  수정/삭제  댓글쓰기

    이렇게 디자인만 조금 다르거나 이름만 다르고 동일한 것들이 많더군요..