Real Geeks

nonfm.exe와 savere 악성리워드

시스템/IT/탐나는정보들
어느날 갑자기 설치된 nonfm.exe

파일을 좀 살펴보니

uid와 partner 값으로 제휴된 쇼핑사이트에 대한 파트너 ID를 통하여
수익을 얻는 리워드프로그램이다.
정상적으로 보이는 툴바와 달리 후킹 프로그램 하나로 돌아가는 것으로
보인다.

count_80/active.php 로 활성화되어져있는 시스템들을 얼마나 되는지
알도록 한번씩 돌아가는 것이다.

사용자가 입력한 정보를 바탕으로

select * fro SEARCHSITE where SITE='%s' 로 자신들의 DB에 있는 정보를
검색 후 사용자 브라우저로 결과를 자신들 위주로해서 뿌려준다.

해당 배포 회사의 주소는 www.savere.co.kr

해당 프로그램의 메인 제휴사는
clickstory, interich, ilikeclick, linkprice 로 파악이 된다. 파일 내부 참조

키워드 관련된 내용은
http://www.savere.co.kr/keyword/keyword_list_20071212.php 로 받아와서

아래 주소를 사용한다.
http://search.daum.net/cgi-bin/nsp/search.cgi?auth_code=102199&q=
라는 결과 값을 받아와서 다음의 검색 결과를 보여준다.

auth_code가 아마 저 회사의 제휴 파트너 코드일 듯 싶고, q=는 검색어 쿼리 변수
로 생각이 된다. 포털사이트의 검색 결과로 무엇을 하는듯..

해당 프로그램 파일은 nonfm.exe 이며, 프로세스상에서 삭제를 하면 다시 살아나서
올라온다.

제거는 시작->제어판->프로그램추가제거->savere Uninstall 이라는거 제거하시면
제거가 된다고 되어져있음


졸려서 가볍게 정리.. ㅜㅜ

새싹에 DB로 업데이트 할 예정임