728x90
반응형
국내 인터넷 사용자를 표적으로 하는 것으로 추정되는 악성 파일이 무료 백신 알약(ALYac) 보안 제품의 기능 방해 시도 및 감염된 시스템 정보를 외부로 유출하는 악성 파일을 확인하였습니다.
참고로 해당 악성 파일(MD5 : 4658903b8d321f58eebc4726ef243c02)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sysckbc (VirusTotal : 6/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
감염된 환경에서는 "biosmangr"라는 이름으로 시작 프로그램에 자신을 등록하여 시스템 시작시마다 자동으로 실행되도록 구성되어 있습니다.
그러므로 인터넷 상에서 신뢰할 수 없는 파일(동영상 포함)을 함부로 실행하지 않도록 매우 주의하시기 바라며, 반드시 보안 제품의 실시간 감시 및 제품에서 제공하는 자가 보호 기능을 켜시고 이용하시기 바랍니다.
참고로 해당 악성 파일(MD5 : 4658903b8d321f58eebc4726ef243c02)에 대하여 안철수연구소(AhnLab) V3 보안 제품에서는 Trojan/Win32.Sysckbc (VirusTotal : 6/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- ALYac = "C:\Program Files\ESTsoft\ALYac\AYLaunch.exe" /run
테스트에서는 알약(ALYac) 2.1.0.1 버전의 경우 자가 보호 기능으로 인하여 레지스트리 삭제에 실패하지만, 현재 알약 제품에서는 해당 악성 파일에 대한 진단이 이루어지지 않는 관계로 정상적으로 감염이 이루어집니다.
[생성 레지스트리 등록 정보]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- biosmangr = (biosmangr 파일 위치)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- biosmangr = (biosmangr 파일 위치)
감염된 환경에서는 "biosmangr"라는 이름으로 시작 프로그램에 자신을 등록하여 시스템 시작시마다 자동으로 실행되도록 구성되어 있습니다.
그러므로 인터넷 상에서 신뢰할 수 없는 파일(동영상 포함)을 함부로 실행하지 않도록 매우 주의하시기 바라며, 반드시 보안 제품의 실시간 감시 및 제품에서 제공하는 자가 보호 기능을 켜시고 이용하시기 바랍니다.
728x90
반응형