Adware.BlazeFind

인쇄 가능 페이지

업데이트됨: February 13, 2007 11:36:17 AM
유형: Adware
버전: n/a
게시자: n/a
위험 영향: High
파일 이름: 2_0_1browserhelper2.dll unstsa2.exe key2.txt installer2.exe omniscient.exe Omni
영향을 받는 시스템: Windows

행동


Adware.BlazeFind는 자기 자신을 Browser Helper Object로 설치하고 검색 조회를 리디렉션합니다. explorer.exe를 재시작하고 자기 자신을 다른 프로세스에 연결할 수 있습니다. 손상된 시스템에 광고를 표시할 수 있습니다.

참고: 2005년 4월 20일 이전 정의는 이 위협을 Adware.Blazefind로 탐지할 수 있습니다.

증상


시만텍 프로그램이 Adware.Blazefind를 탐지합니다.
Internet Explorer에서 검색 조회의 리디렉션.
프로세스 "omniscient.exe" 존재.

전송


Adware.Blazefind는 직접 설치해야 합니다.

안티바이러스 보호 일자

  • Initial Rapid Release versionRapid Release 최초 버전 October 02, 2014 리비전 022
  • Rapid Release 최신 버전 April 25, 2018 리비전 009
  • Daily Certified 최초 버전 March 22, 2004
  • Daily Certified 최신 버전 April 25, 2018 리비전 033
  • Weekly Certified 최초 릴리스 날짜 March 22, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

업데이트됨: February 13, 2007 11:36:17 AM
유형: Adware
버전: n/a
게시자: n/a
위험 영향: High
파일 이름: 2_0_1browserhelper2.dll unstsa2.exe key2.txt installer2.exe omniscient.exe Omni
영향을 받는 시스템: Windows


Adware.Blazefind는 다음 작업을 수행합니다.

    1. 다음 파일을 생성합니다.

      • %시스템 폴더%\2_0_1browserhelper2.dll
      • %시스템 폴더%\UnstSA2.exe
      • %시스템 폴더%\key2.txt

        참고: %시스템 폴더%은 System 폴더를 나타내는 변수입니다. 기본 설정: Windows 95/98/Me의 경우 C:\Windows\System, Windows NT/2000의 경우 C:\Winnt\System32 또는 Windows XP의 경우 C:\Windows\System32

    2. 자신을 Browser Helper Object로서 등록합니다.

    3. 다음 레지스트리 키에

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      아래의 값을
      추가합니다.

      "Windows SA" = "%ProgranFiles%\WindowsSA\omniscient.exe"

      이로 인해 Windows가 시작할 때마다 Adware가 실행합니다.

      참고: 파일 omniscient.exe가 항상 생성되는 것은 아닙니다.

    4. 다음 레지스트리 키에

      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop

      아래의 값을
      수정할 수 있습니다.

      "Taskbar" = "[이진수 값]"
      "TaskbarWinXp" = "[이진수 값]"


      이로 인해 사용자가 Windows에 로그온할 때마다 Adware가 작업 표시줄로 로그온합니다.

    5. 다음 파일 중 일부를 생성할 수 있습니다.

      • %Windows 폴더%\System32car.ico
      • %Windows 폴더%\System32casino.ico
      • %Windows 폴더%\System32creditcard.bmp
      • %Windows 폴더%\System32Go.ico
      • %Windows 폴더%\System32omniprivacy.khtml

        참고:% Windows 폴더%은 Windows 설치 폴더를 나타내는 변수입니다. 기본적으로, C:\Windows나 C:\Winnt입니다.

    6. 다음 레지스트리 하위 키 중 일부를 작성할 수 있습니다.

      HKEY_CLASSES_ROOT\BridgeX.Installer
      HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand
      HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand.1
      HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
      HKEY_CLASSES_ROOT\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
      HKEY_CLASSES_ROOT\CLSID\{14D2CFFE-6656-4BEC-8D9E-DDE6F2D4EAE5}
      HKEY_CLASSES_ROOT\CLSID\{C5941EE5-6DFA-11D8-86B0-0002441A9695}
      HKEY_CLASSES_ROOT\Interface\{8C505A6B-124B-4768-8FD3-1A066C839848}
      HKEY_CLASSES_ROOT\Typelib\{0B3569D7-1EA4-4CBA-AC13-225902619789}
      HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SR 2.0
      HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SA
      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
      HKEY_LOCAL_MACHINE\Software\microsoft\code store database\distribution units\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
      HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}

    7. 다음 작업 중 일부를 표시할 수 있습니다.

      • explorer.exe를 재시작하고 .dll을 IEFrame 클래스로부터 상속되는 모든 프로세스로 연결합니다.
      • Internet Explorer에서 검색 조회를 www.blazefind.com으로 리디렉션합니다.
      • "기본 링크" 메뉴를 다른 웹 사이트 링크를 포함하는 Internet Explorer 브라우저로 추가합니다.
      • 암호화된 파일 %Windows 폴더%\System32\omniprivacy.khtml에 나열된 암호를 표시합니다.


    업데이트됨: February 13, 2007 11:36:17 AM
    유형: Adware
    버전: n/a
    게시자: n/a
    위험 영향: High
    파일 이름: 2_0_1browserhelper2.dll unstsa2.exe key2.txt installer2.exe omniscient.exe Omni
    영향을 받는 시스템: Windows



    제거 도구를 사용한 자동 제거 방법

    시만텍 보안 연구소가 Adware.BlazeFind 제거 도구를 개발하였습니다. 이 웜을 제거하기 위한 가장 쉬운 방법이므로, 이 제거 도구를 먼저 사용하십시오.

    이 도구를 다운로드하려면 여기를 누르십시오.


    http://securityresponse.symantec.com/avcenter/FxBlzFnd.exe

    이 도구의 현재 버전은 1.0.1이며 20005년 3월 20일 오후 10:17 PM과 같은 디지털 시그니처 시간 기록을 가지고 있습니다.

    참고: 시스템이 미국 서부 시간대(PST)로 설정되지 않은 경우, 표시된 날짜와 시간이 사용자의 시간대로 조정됩니다.

    수동 제거 방법


    이 지침은 Symantec AntiVirus 및 Norton AntiVirus 제품군을 포함한 모든 시만텍 바이러스 방지 제품에 해당됩니다.

    1. Windows Me/XP 시스템 복원 기능 중지
    2. 바이러스 정의 업데이트
    3. 전체 시스템 검사를 실행하고 탐지된 모든 보안 위험 삭제(제거 도구 사용 권장)
    4. 레지스트리에 추가된 값을 제거 및 시스템 다시 시작
      각 단계의 자세한 내용은 다음을 참조하십시오.

      1. 시스템 복원 기능 중지 (Windows Me/XP)
      Windows Me 또는 Windows XP를 사용하는 경우, [시스템 복원]기능 잠시 중지할 것을 권장합니다. 이 기능은 기본값으로 활성화되어 있으며 파일이 손상된 경우 Windows에서 이 파일을 복원하는 데 사용됩니다. 바이러스, 웜, 또는 트로이 목마 감염을 치료한 후, [시스템 복원] 기능이 이를 다시 복원 시킬 수도 있습니다.

      Windows는 바이러스 방지 프로그램을 포함한 외부의 프로그램이 [시스템 복원]을 변경하는 것을 방지합니다. 그러므로, 바이러스 방지 프로그램은 [시스템 복원]폴더에 있는 위해한 프로그램을 삭제할 수 없습니다. 이로 인해, [시스템 복원]은 바이러스 감염 치료후, 감염된 파일을 시스템에 다시 복구할 가능성이 있습니다.

      또한, 웜을 제거한 이후에도 바이러스 검사에서 시스템 복원 폴더에 있는 웜을 탐지할 수도 있습니다.

      [시스템 복원]기능을 중지하는 방법에 관한 설명은 다음 문서를 참조하십시오.


      참고: 제거 작업을 종료했고 바이러스가 제거되었다고 확신할 때, 시스템 복원 기능을 재실행하십시오.

      자세한 내용 및 Windows Me 시스템 복원 실행 중지 이외의 방법은 Microsoft 기술 자료 바이러스 백신 도구가 _Restore 폴더에서 감염된 파일을 복구하지 못한다 , 기술 자료 ID : 263455를 참조하십시오.

      2. 바이러스 정의 업데이트
      모든 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response)의 철저한 테스트를 거친 후 서버를 통해 제공됩니다. 최신 바이러스 정의를 얻을 수 있는 두 가지 방법은 다음과 같습니다.
      • LiveUpdate는 바이러스 정의를 업데이트 하는 가장 쉬운 방법입니다. 바이러스 정의는 위급한 바이러스 확산이 발생하지 않는 한 LiveUpdate 서버에 매주 목요일에 게시됩니다. 이 바이러스에 관한 정의가 LiveUpdate에 포함되어 있는지 확인하려면 문서 첫 부분의 바이러스 정의(LiveUpdate)를 참조하십시오.
      • Intelligent Updater를 통해 바이러스 정의를 다운로드 하는 방법: Intelligent Updater 바이러스 정의는 평일(월 – 금)에 게시됩니다. Intelligent Updater 바이러스 정의는 시만텍 보안 연구소(Symantec Security Response) 웹 사이트를 통해 다운로드 받아야 하며 사용자가 직접 설치해야 합니다. 이 바이러스에 관한 정의가 Intelligent Updater에 포함되어 있는지를 확인하려면 바이러스 정의(Intelligent Updater)를 참조하십시오.

        Intelligent Updater 바이러스 정의는
        여기에서 다운로드 받을 수 있습니다. 자세한 내용은 Intelligent Updater를 사용하여 바이러스 정의 파일을 업데이트하는 방법을 참조하십시오.
      3. 전체 시스템 검사 및 삭제
      1. 시만텍 안티바이러스 소프트웨어를 시작하고 모든 파일을 검사하도록 설정되어 있는지 확인하십시오.
      2. 전체 시스템 검사를 실행하십시오.
      3. 보안 위험에 감염된 것으로 탐지된 파일이 있으면 [삭제]를 누르십시오.
      4. 레지스트리 값 제거 및 시스템 재 시작


      주의 : 레지스트리를 변경하기 전에 백업할 것을 권장합니다. 레지스트리를 잘못 변경하면 데이터가 영구히 손실되거나 파일이 손상될 수 있습니다. 지정된 키만 수정하십시오. 자세한 내용은 시만텍 기술 자료 Windows 레지스트리 백업 방법 문서를 참조하십시오.
      1. Windows 작업 메뉴에서 [시작] > [실행]을 누르십시오. ( [실행] 대화 상자가 나타납니다.)

      2. 실행 대화창에 아래의 명령어를 입력하십시오.

        regedit

        을 입력한 후
        확인을 누르십시오. (레지스트리 편집기가 열립니다.)

      3. 다음 키를 찾으십시오.

        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

      4. 오른쪽 창에서 다음 값을 삭제하십시오.

        "Windows SA" = "%PROGRAMFILES%\WindowsSA\omniscient.exe"

      5. 다음 키를 찾으십시오.

        HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Streams\Desktop

      6. 오른쪽 창에서 다음 값을 삭제하십시오.

        "Taskbar" = "[binary data]"
        "TaskbarWinXp" = "[binary data]"

        참고: 위의 값을 삭제함으로써 작업 표시줄 설정이 삭제됩니다.

      7. 아래의 레지스트리 값이 찾으면 삭제하십시오.

        HKEY_CLASSES_ROOT\BridgeX.Installer
        HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand
        HKEY_CLASSES_ROOT\WindowsSaBand.WinSaBand.1
        HKEY_CLASSES_ROOT\CLSID\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
        HKEY_CLASSES_ROOT\CLSID\{15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6}
        HKEY_CLASSES_ROOT\CLSID\{14D2CFFE-6656-4BEC-8D9E-DDE6F2D4EAE5}
        HKEY_CLASSES_ROOT\CLSID\{C5941EE5-6DFA-11D8-86B0-0002441A9695}
        HKEY_CLASSES_ROOT\Interface\{8C505A6B-124B-4768-8FD3-1A066C839848}
        HKEY_CLASSES_ROOT\Typelib\{0B3569D7-1EA4-4CBA-AC13-225902619789}
        HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SR 2.0
        HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\Windows SA
        HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}
        HKEY_LOCAL_MACHINE\Software\microsoft\code store database\distribution units\{15ad4789-cdb4-47e1-a9da-992ee8e6bad6}
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows SA
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DownloadManager
        HKEY_ALL_USERS\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83DE62E0-5805-11D8-9B25-00E04C60FAF2}