1. Symantec/
  2. 보안 연구소/
  3. Adware.Topsearch
  4. Adware.Topsearch
  • 추가

Adware.Topsearch

업데이트됨:
2012년 12월 27일 1:48:58 AM
유형:
Adware
위험 영향:
Medium
영향을 받는 시스템:
Windows

Adware.TopSearch가 실행되면 다음 작업을 수행합니다.
  1. 다음 파일을 생성합니다.

    • %ProgramFiles%\KaZaA\topsearch.dll (다른 위치에 설치될 수 있음)
    • %ProgramFiles%\Altnet\Download Manager\asm.exe
    • %ProgramFiles%\Altnet\Download Manager\asmps.dll
    • %ProgramFiles%\Altnet\Download Manager\altinst1.dll
    • %ProgramFiles%\Altnet\Download Manager\altinst2.dll
    • %ProgramFiles%\Altnet\My Altnet Shares\ (파일을 여러 개 포함할 수 있음)
    • %ProgramFiles%\Altnet\DBBackup\Sigfiles.db
    • %ProgramFiles%\Altnet\Points Manager\Local Pages (.gif 및 .html 파일을 여러 개 포함할 수 있음)
    • %ProgramFiles%\Altnet\Points Manager\Skin (.bmp 파일을 여러 개 포함할 수 있음)
    • %ProgramFiles%\Altnet\Points Manager\Temp Internet Shares (파일을 여러 개 포함할 수 있음)
    • %ProgramFiles%\Altnet\Points Manager\points manager.exe
    • %ProgramFiles%\Altnet\Points Manager\Points Manager.exe.Manifest
    • %ProgramFiles%\Altnet\Points Manager\settings.cab
    • %ProgramFiles%\Altnet\Points Manager\setup.cab
    • %ProgramFiles%\Altnet\Points Manager\sysdetect.dll
    • %Windir%\smdat32m.sys
    • %Windir%\smdat32a.sys
    • %Windir%\Fonts\acrsec.fon
    • %Windir%\Fonts\acrsecI.fon
    • %Windir%\Fonts\acrsecB.fon
    • %System%\TopSearch.dll

      참고:
    • %System%은 시스템 폴더를 나타내는 변수입니다. 기본값은 Windows 95/98/Me의 경우 C:\Windows\System, Windows NT/2000의 경우 C:\Winnt\System32, Windows XP의 경우 C:\Windows\System32입니다.
    • %Windir%은 Windows 설치 폴더를 나타내는 변수입니다. 기본값은 C:\Windows (Windows 95/98/Me/XP) 또는 C:\Winnt (Windows NT/2000)입니다.
    • %ProgramFiles%는 프로그램 파일 폴더를 나타내는 변수입니다. 기본값은 C:\Program Files입니다.

  2. [ORIGINAL FILE NAME].Manifest 파일을 생성합니다.

    참고: [ORIGINAL FILE NAME]은 이 보안 위험 요소를 처음 실행한 파일을 가리킵니다.

  3. 다음 레지스트리 키를 생성합니다.

    HKEY_CLASSES_ROOT\CLSID\{3646C2BD-3554-49CA-8125-44DEEFB881DE}
    HKEY_CLASSES_ROOT\AppID\{8B0FEF15-54DC-49F5-8377-8172DE975F75}
    HKEY_CLASSES_ROOT\CLSID\{3f4d4f88-0198-4921-b630-957f3eb814e0}
    HKEY_CLASSES_ROOT\CLSID\{9BBCF06C-DCD7-495D-80DF-CDD5399D0FF8}
    HKEY_CLASSES_ROOT\CLSID\{E813099D-5529-47F4-9B37-4AFAFCB00A43}
    HKEY_CLASSES_ROOT\Interface\{AD5BC1F0-72D8-44B3-8E3D-8E8FECCE43FB}
    HKEY_CLASSES_ROOT\Interface\{E813099D-5529-47F4-9B37-4AFAFCB00A43}
    HKEY_CLASSES_ROOT\AppID\Altnet Signing Module.EXE
    HKEY_CLASSES_ROOT\SigningModule.SigningModule
    HKEY_CLASSES_ROOT\SigningModule.SigningModule.1
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\AltnetDM
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AltnetDM
    HKEY_LOCAL_MACHINE\SOFTWARE\Altnet


  4. 다음 값을
    "AltnetPointsManager" = "Random Location"

    아래의 레지스트리 키에 추가합니다.

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    그러면 시작할 때 위험 요소가 실행됩니다.

요약| 기술적 세부 사항| 제거
2016년 인터넷 보안 위협 보고서, 제21호