본문 바로가기

벌새::Analysis

국내 악성코드 : Windows Update 파일로 위장한 wuauclt.exe

반응형
과거 웹하드 서비스를 하던 도메인을 이용하여 Windows Update 파일과 동일한 파일명(wuauclt.exe)을 가지는 악성코드가 유포되고 있는 것을 확인하였습니다.

해당 파일의 유포 파일(MD5 : 085d3854d349aa7cf7081eb563252c1f)은 png 확장자를 가지고 있지만 PE 구조로 이루어진 실행 파일로 알약(ALYac) 2.0 보안 제품에서는 Trojan.Swisyn.Info (VirusTotal : 14/42) 진단명으로 진단되고 있습니다.

[생성 폴더 / 파일 등록 정보]

C:\Programs
C:\Programs\SysFiles.ini
C:\Programs\wuauclt.exe :: 숨김(H) 속성 / 시작 프로그램 등록 파일
C:\WINDOWS\Temp\temp

해당 악성 파일이 설치되면 C:\Programs 폴더에 숨김(H) 속성을 가지는 wuauclt.exe 파일을 생성하여 시작 프로그램에 등록하도록 구성되어 있습니다.

wuauclt.exe 파일은 원래 Windows 시스템 폴더(C:\WINDOWS\system32)에 위치하는 Windows Update 관련 파일이지만, 해당 악성코드는 동일한 이름으로 구성하여 사용자의 눈을 속이고 있습니다.

참고로 해당 악성 wuauclt.exe (MD5 : 085d3854d349aa7cf7081eb563252c1f) 파일은 알약(ALYac) 2.0 보안 제품에서 Trojan.Swisyn.Info (VirusTotal : 14/41) 진단명으로 진단되고 있습니다.

wuauclt.exe 파일이 Windows 시작시 자동 실행되는 과정에서 추가적인 SysFiles.dll 파일(※ 현재 시점에서는 다운로드 불가)을 다운로드 시도를 하고 있으며, CPU ID, Mac Address, 사용자 계정 이름, 컴퓨터 이름 등의 정보 수집 및 전송을 하는 것을 확인할 수 있었습니다.

현재 어떤 경로를 통해 유포가 이루어지는지 확인하지 못하였지만, 해당 유포지는 과거에도 사용자 몰래 악성 파일을 설치하는 것을 확인하였던 것으로 기억되므로 주의하시기 바랍니다.


728x90
반응형
  • 웹하드는 역시 모든걸 주는군요 ㅋㅋ

  • 유익한 정보 감사합니다.^^
    그런데 어려워서 이해가 잘 안되네요 ㅠㅠ

  • 살별 2011.05.01 08:39 댓글주소 수정/삭제 댓글쓰기

    아. 저도 이것 땜에 고생했어요.ㅜㅜ


  • 저도... 저는 근데 오늘 업데이트 받았는데 알약으러 검색이 안되네여... V3를 써야겠어요 역시...
    이거
    특징이 cpu를
    계속 100%사용중으러 만든다는거...

  • 어떻하죠? 2013.01.07 05:15 댓글주소 수정/삭제 댓글쓰기

    컴퓨터를 키고 일정시간이 지나면 V3백신이 먹통이되며 실시간감지와 실행도 안되던데 그럴때마다 보면 프로세스에 이녀석이 켜있어요. 이 프로세스를 중지하면 다시 V3백신도 작동하지만 몇초후 바로 wuaucult가 또 켜져있습니다. 어떻하면 좋을까요??

    • 해당 파일명 자체는 윈도우 기본 파일명과 일치하며, 사용자가 말씀하시는 파일이 "C:\Windows\System32\wuauclt.exe" 위치에 있다면 정상 파일입니다.

      이런 경우에는 백신 프로그램으로 정밀 검사해서 다른 악성 파일이 없을 경우에는 정상적인 것으로 보입니다.

      단지 wuauclt.exe 파일의 역할이 윈도우 업데이트 기능을 하므로 사용자가 윈도우 업데이트를 제대로 수행하지 않아서 발생하는 것이 아닌가 생각되므로, 반드시 윈도우 업데이트를 최신으로 유지하시기 바랍니다.

  • 고민이네요 2014.01.31 22:26 댓글주소 수정/삭제 댓글쓰기

    저도 그자리에 없는걸 보니 악성코드인것같은데 지워지질 않아요ㅠㅠㅠㅠ 어쩌면 좋을까요 ㅠㅠ