nonfm.exe와 savere 악성리워드
시스템/IT/탐나는정보들어느날 갑자기 설치된 nonfm.exe
파일을 좀 살펴보니
uid와 partner 값으로 제휴된 쇼핑사이트에 대한 파트너 ID를 통하여
수익을 얻는 리워드프로그램이다.
정상적으로 보이는 툴바와 달리 후킹 프로그램 하나로 돌아가는 것으로
보인다.
count_80/active.php 로 활성화되어져있는 시스템들을 얼마나 되는지
알도록 한번씩 돌아가는 것이다.
사용자가 입력한 정보를 바탕으로
select * fro SEARCHSITE where SITE='%s' 로 자신들의 DB에 있는 정보를
검색 후 사용자 브라우저로 결과를 자신들 위주로해서 뿌려준다.
해당 배포 회사의 주소는 www.savere.co.kr
해당 프로그램의 메인 제휴사는
clickstory, interich, ilikeclick, linkprice 로 파악이 된다. 파일 내부 참조
키워드 관련된 내용은
http://www.savere.co.kr/keyword/keyword_list_20071212.php 로 받아와서
아래 주소를 사용한다.
http://search.daum.net/cgi-bin/nsp/search.cgi?auth_code=102199&q=
라는 결과 값을 받아와서 다음의 검색 결과를 보여준다.
auth_code가 아마 저 회사의 제휴 파트너 코드일 듯 싶고, q=는 검색어 쿼리 변수
로 생각이 된다. 포털사이트의 검색 결과로 무엇을 하는듯..
해당 프로그램 파일은 nonfm.exe 이며, 프로세스상에서 삭제를 하면 다시 살아나서
올라온다.
제거는 시작->제어판->프로그램추가제거->savere Uninstall 이라는거 제거하시면
제거가 된다고 되어져있음
졸려서 가볍게 정리.. ㅜㅜ
새싹에 DB로 업데이트 할 예정임
파일을 좀 살펴보니
uid와 partner 값으로 제휴된 쇼핑사이트에 대한 파트너 ID를 통하여
수익을 얻는 리워드프로그램이다.
정상적으로 보이는 툴바와 달리 후킹 프로그램 하나로 돌아가는 것으로
보인다.
count_80/active.php 로 활성화되어져있는 시스템들을 얼마나 되는지
알도록 한번씩 돌아가는 것이다.
사용자가 입력한 정보를 바탕으로
select * fro SEARCHSITE where SITE='%s' 로 자신들의 DB에 있는 정보를
검색 후 사용자 브라우저로 결과를 자신들 위주로해서 뿌려준다.
해당 배포 회사의 주소는 www.savere.co.kr
해당 프로그램의 메인 제휴사는
clickstory, interich, ilikeclick, linkprice 로 파악이 된다. 파일 내부 참조
키워드 관련된 내용은
http://www.savere.co.kr/keyword/keyword_list_20071212.php 로 받아와서
아래 주소를 사용한다.
http://search.daum.net/cgi-bin/nsp/search.cgi?auth_code=102199&q=
라는 결과 값을 받아와서 다음의 검색 결과를 보여준다.
auth_code가 아마 저 회사의 제휴 파트너 코드일 듯 싶고, q=는 검색어 쿼리 변수
로 생각이 된다. 포털사이트의 검색 결과로 무엇을 하는듯..
해당 프로그램 파일은 nonfm.exe 이며, 프로세스상에서 삭제를 하면 다시 살아나서
올라온다.
제거는 시작->제어판->프로그램추가제거->savere Uninstall 이라는거 제거하시면
제거가 된다고 되어져있음
졸려서 가볍게 정리.. ㅜㅜ
새싹에 DB로 업데이트 할 예정임
'시스템/IT/탐나는정보들' 카테고리의 다른 글
Cansec 2008 (0) | 2008.03.30 |
---|---|
앞으로 두번 다시 백업을 놓치지 않으리.... (0) | 2008.03.27 |
나에게만 몇번 찾아온 서버 하드 파티션 오류 (0) | 2008.03.27 |
무료 윈도우 비스타의 비애와 세상에 공짜는 없다 (6) | 2008.03.25 |
1억상금 해킹 대회 (0) | 2008.03.21 |