국내 악성코드 : Windows Update 파일로 위장한 wuauclt.exe

과거 웹하드 서비스를 하던 도메인을 이용하여 Windows Update 파일과 동일한 파일명(wuauclt.exe)을 가지는 악성코드가 유포되고 있는 것을 확인하였습니다.

해당 파일의 유포 파일(MD5 : 085d3854d349aa7cf7081eb563252c1f)은 png 확장자를 가지고 있지만 PE 구조로 이루어진 실행 파일로 알약(ALYac) 2.0 보안 제품에서는 Trojan.Swisyn.Info (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Programs
C:\Programs\SysFiles.ini
C:\Programs\wuauclt.exe :: 숨김(H) 속성 / 시작 프로그램 등록 파일
C:\WINDOWS\Temp\temp

해당 악성 파일이 설치되면 C:\Programs 폴더에 숨김(H) 속성을 가지는 wuauclt.exe 파일을 생성하여 시작 프로그램에 등록하도록 구성되어 있습니다.

wuauclt.exe 파일은 원래 Windows 시스템 폴더(C:\WINDOWS\system32)에 위치하는 Windows Update 관련 파일이지만, 해당 악성코드는 동일한 이름으로 구성하여 사용자의 눈을 속이고 있습니다.

참고로 해당 악성 wuauclt.exe (MD5 : 085d3854d349aa7cf7081eb563252c1f) 파일은 알약(ALYac) 2.0 보안 제품에서 Trojan.Swisyn.Info (VirusTotal : 14/41) 진단명으로 진단되고 있습니다.

wuauclt.exe 파일이 Windows 시작시 자동 실행되는 과정에서 추가적인 SysFiles.dll 파일(※ 현재 시점에서는 다운로드 불가)을 다운로드 시도를 하고 있으며, CPU ID, Mac Address, 사용자 계정 이름, 컴퓨터 이름 등의 정보 수집 및 전송을 하는 것을 확인할 수 있었습니다.

현재 어떤 경로를 통해 유포가 이루어지는지 확인하지 못하였지만, 해당 유포지는 과거에도 사용자 몰래 악성 파일을 설치하는 것을 확인하였던 것으로 기억되므로 주의하시기 바랍니다.