반응형
최근 캐나다에서 열리고 있는 동계 올림픽에 참가한 김연아 선수의 인기를 이용하여 해외 가짜 백신(Fake AV)이 악성코드 유포에 활용하고 있다는 소식입니다.
실제 어떤 방식으로 유포가 이루어지고 있는지 확인을 해 보았으며, 위와 같은 Blackhat SEO 방식의 경우 웹 검색 상에서는 정상적인 인터넷 사이트로 보이지만 접속하는 과정에서 악의적인 사이트로 변경되는 방식이므로 특히 해외 인터넷 사이트를 이용하시는 분들은 매우 주의하시기 바랍니다.
MD5 : 073e648799c152e9910eb33166a640cb
1. 폴더 / 파일 생성
%(사용자 계정)%\Local Settings\Temp 폴더에 자기 자신을 복제
%(모든 사용자 계정)%\Application Data\(임의의 숫자+영문) 폴더\(임의의 숫자+영문).exe 파일 생성
2. 레지스트리 생성
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- SAV = "%(사용자 계정)%\Local Settings\Temp\(임의의 숫자+영문).exe" /cs:0
%(사용자 계정)%\Local Settings\Temp 폴더에 자기 자신을 복제
%(모든 사용자 계정)%\Application Data\(임의의 숫자+영문) 폴더\(임의의 숫자+영문).exe 파일 생성
2. 레지스트리 생성
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
- SAV = "%(사용자 계정)%\Local Settings\Temp\(임의의 숫자+영문).exe" /cs:0
이렇게 설치된 악성코드는 Windows가 시작될 때마다 자동 실행되어 허위 정보를 바탕으로 결제를 유도하고 있으며, 사용자의 정상적인 컴퓨터 활동을 방해하는 것으로 알려져 있습니다.
728x90
반응형