Anti-Virus Leader ViRobot

Spyware.FraudLoad.Do

다른이름	[Kaspresky] Trojan-Downloader.Win32.FraudLoad.wytd
대표적 증상	바탕화면 아이콘 설치,재부팅시 자동실행,팝업창 출력,허위 안티스파이웨어 설치 유도
발견일	국내 : 2010-02-24 해외 : 2010-02-24
분류	Adware	활동 범위
위험도/확산도	/	특정 활동일	--
제작국가	불분명	암호화 여부	비암호화
감염위치	악성코드에 의해 다운로드,응용프로그램과 함께 설치,파일실행	시스템 메모리 상주여부
바이로봇 대응정보	2010-02-25 [진단치료가능]

> [동영상 리뷰] 탭으로 이동하여 확인 할 수 있으며, 약 11분 28초의 영상입니다. < [Spyware.FraudLoad.Do] 은(는) 사용자 동의 없이 설치되며, Paladin Antivirus를 다운로드하여 실행시킨다. 다운로드 된 Paladin Antivirus는 일정시간마다 경고를 띄우며, 해당 경고는 출력되면서 바탕화면을 비활성화 시킨다. - 부팅 시 자동 실행 될 수 있도록 레지스트리에 자신을 등록한다. [그림 1.] 설치되는 모습 [그림 2.] 스캔 화면 [그림 3.] MS사의 보안센터와 동일한 UI [그림 4.] 일정시간마다 바탕화면 비활성화 모습1 [그림 5.] 일정시간마다 바탕화면 비활성화 모습2 [그림 6.] 일정시간마다 바탕화면 비활성화 모습3 [그림 7.] 경고 화면1 [그림 8.] 경고 화면2 [그림 9.] 경고 화면3 [그림 10.] 경고 화면4 [그림 11.] 아이콘 생성 [그림 12.] 결제 요구 화면 < 관련 URL > hxxp://(생략).cn/readdatagateway.php?type=(생략) hxxp://(생략).cn/pav_db hxxp://(생략).cn/readdatagateway.php?type=(생략)&version=3.0 hxxp://(생략).cn/pav_ext hxxp://(생략).cn/pav_hook hxxp://(생략).cn/pav_un hxxp://(생략).cn/pav_main < 파일 > [Spyware.FraudLoad.Do] 이(가) 생성하는 파일은 아래와 같다. (빠른실행 폴더)\Paladin Antivirus.lnk (임시 폴더)\4otjesjty.mof (임시 폴더)\pav.dat (임시 폴더)\pavr.dat (임시 폴더)\(랜덤명).tmp (임시 폴더)\(랜덤명).tmp (임시 폴더)\(랜덤명).tmp (임시 폴더)\(랜덤명).tmp (임시 폴더)\(랜덤명).tmp (바탕화면 폴더)\Paladin Antivirus Support.lnk (바탕화면 폴더)\Paladin Antivirus.lnk (모든 사용자계정 폴더)\바탕 화면\nudetube.com.lnk (모든 사용자계정 폴더)\바탕 화면\pornotube.com.lnk (모든 사용자계정 폴더)\바탕 화면\youporn.com.lnk (임시 폴더)\1.ico (임시 폴더)\2.ico (임시 폴더)\3.ico (임시 폴더)\dhdhtrdhdrtr5y (임시 폴더)\eventcreatexp.exe < 레지스트리 > [Spyware.FraudLoad.Do] 이(가) 생성하는 레지스트리는 아래와 같다. HKLM\SOFTWARE\Classes\\shellex\ContextMenuHandlers\SimpleShlExt HKLM\SOFTWARE\Classes\CLSID\{5E2121EE-0300-11D4-8D3B-444553540000} HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\SimpleShlExt HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Paladin Antivirus HKLM\SOFTWARE\Paladin Antivirus HKCU\Software 이름 : eee0bd2f-ff2e-46ef-83fb-d4fda84462a3 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 이름 : eventcreatexp.exe 값 : "(임시 폴더)\eventcreatexp.exe" HKCU\Software\Microsoft\Windows\CurrentVersion\Run 이름 : Paladin Antivirus 값 : ""(프로그램 폴더)\Paladin Antivirus\pav.exe" -noscan" < 폴더 >* [Spyware.FraudLoad.Do] 이(가) 생성하는 폴더는 아래와 같다. (사용자계정 폴더)\시작 메뉴\프로그램\Paladin Antivirus (프로그램 폴더)\Paladin Antivirus < 표기법 > "(빠른실행 폴더)" 란 운영체제(혹은 사용자)마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\Application Data\Microsoft\Internet Explorer\Quick Launch 이다. "(임시 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\Local Settings\Temp 이다. "(바탕화면 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정)\바탕 화면 이다. "(모든 사용자계정 폴더)" 란 사용자 설정에 따라 다를 수 있으며 일반적으로 C:\Documents and Settings\(모든 사용자계정) 이다. "(사용자계정 폴더)" 란 사용자 설정에 따라 다를 수 있으며 일반적으로 C:\Documents and Settings\(사용자계정) 이다. "(프로그램 폴더)" 란 운영체제마다 다를 수 있으며 일반적으로 C:\Program Files 이다.


1. WinXP / ME 사용자라면 시스템 복원 기능을 비활성화 한다. a. 시스템 복원 비활성화 방법 (WInXP) b. 시스템 복원 비활성화 방법 (WinME) 시스템 복원 기능을 비활성화 하는 이유는 깨끗하게 바이러스를 치료하기 위해서이다. 관련 정보는 MS 홈페이지 기술문서(Q263455) 에서 확인 할 수 있다. 2. 백신 엔진을 최신으로 업데이트 한다. 이 바이러스를 치료하기 위해서는 최신의 백신 엔진이 필요하다. a. 바이로봇 정식 사용자의 경우 : - 제품군을 통해 업데이트 b. 바이로봇을 사용하지 않는 일반 고객 - 라이브콜(무료검사) 사이트를 이용한 바이러스 검사 - 바이로봇 7일 평가판 설치 후 바이러스 검사 3. 스파이웨어 검사를 한다. a. 바이로봇을 실행하여, 환경 설정에서 스파이 / 애드웨어 검사를 한다. - Desktop 5.X : [도구]-[환경설정]-[스파이웨어 검사] 모든 파일 체크 - 라이브콜(무료검사) : [고급검사] 체크 b. 발견되는 모든 스파이웨어에 대해서 치료한다. c. [재부팅 후 자동 치료] 메시지가 나타났다면 재부팅을 한 후에 다시 검사한다.

  
                               World 
                                Wide
                            
                               North 
                                America
                            
                               Mexico/Chile
                            
                               Brazil
                            
                               India
                            
                               Others
                            
                               LiveCall(라이브콜)