반응형
국내 제휴(스폰서) 프로그램 방식으로 "Download Launcher" 이름의 악성 파일이 유포되고 있는 것을 확인할 수 있습니다.
해당 악성코드는 기존에 알려진 다양한 서비스 등록을 통한 추가 다운로드를 위한 변종 파일로 추정되므로 참고하시기 바랍니다.
이번에 유포되는 설치 파일(MD5 : 064048af0cf1999a1c6c504a8860e001)은 국내 악성코드 제거 프로그램 관련 서버를 통해 다운로드가 이루어지고 있으며, BitDefender 보안 제품에서는 Dropped:Generic.Malware.Bdld.A59B6932 (VirusTotal : 7/44) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
[생성 파일 및 진단 정보]
C:\Documents and Settings\(사용자 계정)\Application Data\PcaSvc.exe :: 서비스 등록 파일
- MD5 : f2c2820956c550ae215d77f000f41834
- AhnLab V3 : Adware/Win32.KorAd
C:\Documents and Settings\(사용자 계정)\Application Data\PcaSvc.exe :: 서비스 등록 파일
- MD5 : f2c2820956c550ae215d77f000f41834
- AhnLab V3 : Adware/Win32.KorAd
해당 유포 파일이 실행되면 사용자가 인지하기 어려운 위치에 PcaSvc.exe 파일을 생성하는 동작을 확인할 수 있습니다.
해당 PcaSvc.exe 파일은 scaSvc(scaSvc manager)라는 이름의 서비스로 등록되어 Windows 시작시마다 자동으로 실행되어 특정 동작을 한 후 스스로 중지되도록 구성되어 있습니다.
해당 PcaSvc.exe 파일은 momocell.com에 설치된 사용자 Mac Address 로그를 체크하며, 최종적으로 유튜브 메쉬업(YouTube Mashup) 관련 서버로 연결이 이루어지고 있습니다.
현재 시점에서는 추가적인 다운로드 등의 동작은 존재하지 않지만, 일정 수준의 배포가 이루어진 후에는 시스템 시작시 추가적인 프로그램 설치 등의 행위가 있을 수 있으므로 삭제를 하시기 바랍니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PcaSvc.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scaSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\PcaSvc.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SCASVC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\scaSvc
해당 프로그램은 삭제를 지원하기 않기 때문에 사용자가 생성 파일, 레지스트리 정보를 참고하여 수동으로 삭제하시기 바랍니다.
728x90
반응형