본문 바로가기

시작 프로그램

벌새::Software 2020. 6. 17. 18:58 부팅 시 자동 실행되는 Skype 앱 시작 설정 변경 방법 Windows 10 운영 체제에 기본 내장된 앱(App) 중에서 Skype앱은 기존까지 로그인을 통한 이용을 하지 않을 경우 기본적으로 사용자가 실행할 때 동작하도록 되어 있었습니다. 그런데 Skype 15.61.87.0 버전(C:\Program Files\WindowsApps\Microsoft.SkypeApp_15.61.87.0_x86__kzf8qxf38zg5c\Skype) 업데이트 이후부터 Windows 부팅 시 다음과 같이 자동 실행되는 모습을 볼 수 있습니다. 자동 실행된 Skype 프로그램은 알림 아이콘에 표시되며 기본적으로 Skype.exe 프로세스 5개가 실행되어 90MB 이상의 메모리를 사용하게 됩니다. 해당 앱의 자동 실행 중지를 위해 Skype 앱을 실행할 경우 Microsoft 계정 ..
벌새::Analysis 2018. 11. 3. 14:12 KMSAuto Net 정품 인증툴에 포함된 NanoCore RAT 악성코드 주의 (2018.11.3) 마이크로소프트(Microsoft) 업체에서 제공하는 Windows, Office 제품에 대한 인증 기능을 제공하는 KMSAuto Net 정품 인증툴은 기본적으로 다수의 백신 프로그램에서 HackKMS 계열의 진단명으로 탐지하는 경우가 있으며, 이로 인하여 정품 인증툴 사용 시 백신 탐지를 무시하는 경향이 강합니다. KMSpico 윈도우 정품 인증툴로 위장한 Domino 랜섬웨어 주의 (2016.8.29) KMSPico 정품 인증툴 설치 시 추가되는 가상 화폐 채굴 기능 주의 (2017.12.24) 하지만 이런 점을 이용하여 정품 인증툴에 악성코드를 추가하여 유포하는 사례도 분명히 존재한 것이 사실입니다. 이번 글에서는 2018년 5월경에 유포가 확인된 KMSAuto Net 정품 인증툴에 포함된 NanoC..
벌새::Analysis 2018. 9. 29. 14:45 엑셀(Excel) 파일로 위장한 정보 수집 악성코드 유포 주의 (2018.9.29) 최근 파일 공유 서비스를 통해 유포가 이루어진 것으로 추정되는 Microsoft Excel 파일 아이콘으로 위장한 정보 수집용 악성코드가 발견되어 살펴보도록 하겠습니다. 토렌트를 통한 백도어(Backdoor)가 포함된 "VMware Workstation 11" 버전 주의 (2015.6.17) 마인크래프트(Minecraft)로 위장한 백도어(Backdoor) 유포 주의 (2015.7.6) 서든 어택(Sudden Attack) 계정 정보 수집 목적으로 유포된 오토에임 악성코드 주의 (2017.4.16) 참고로 해당 악성코드는 기존에도 다양한 형태로 유포되었던 변종이 존재하였으므로 참고하시기 바랍니다. "Microsoft Wind" 디지털 서명 사용한 악성 파일 (SHA-1 : 32c9a6b54572cac5a..
벌새::Analysis 2018. 8. 26. 19:35 μTorrent Pro 크랙(Crack) 버전을 이용한 백도어(Backdoor) 유포 정보 (2018.8.26) 최근 토렌트(Torrent) 파일 공유 사이트에 μTorrent Pro 크랙(Crack) 버전이 업로드되어 유포되고 있는데, 해당 게시글에는 다음과 같은 내용이 포함되어 있습니다. 간혹 블로그를 통해서 강조한 적이 있지만, 크랙(Crack) 버전을 유포하면서 백신 프로그램을 종료하도록 안내하는 문구가 있는 경우에는 악성코드가 포함되어 있을 가능성이 매우 높으므로 주의할 필요가 있다고 하였습니다. 그래서 μTorrent 파일을 다운로드하여 어떤 파일인지 간단하게 살펴보게 되었는데, 해당 파일은 이미 블로그를 통해 몇 차례 언급하였던 .NET 기반의 Bladabindi 백도어(Backdoor) 계열임을 확인할 수 있었습니다. 토렌트를 통한 백도어(Backdoor)가 포함된 "VMware Workstation..
벌새::Analysis 2018. 8. 11. 20:48 인공지능(AI) 인터넷 도우미 winclientservice.exe 파일의 정체 (2018.8.11) 최근에 프로그램을 설치하는 과정에서 의심스러운 폴더에 파일이 1개만 생성된 후 실행되고 있는 것이 확인되어 살펴보도록 하겠습니다. 문제의 파일은 "C:\Users\%UserName%\AppData\Roaming\wcs\WinClientService.exe" 파일(SHA-1 : beefe5857a434e17d4a164134aaa944429a907cb - ESET : a variant of Win32/Adware.Kraddare.LV)로 생성되어 있으며, 파일 속성을 확인해보면 "Plan11 Co.,Ltd." 디지털 서명이 추가된 상태로 2018년 6월 초에 발견된 것을 알 수 있었습니다. Malwares.com에서 제공하는 태그(Tag) 정보를 통해 국내에서 제작된 광고 프로그램으로 추정되기에 해당 파일의..
벌새::Analysis 2018. 3. 24. 15:17 광고 제휴 프로그램 : Redirect NWD 64bit (x86) 버전 3.8.3 Polaris Office 프로그램이 상위 버전으로 업데이트되는 과정에서 사용자가 부주의할 수 있는 시점에서 제휴 프로그램을 추가하여 자동 설치가 될 수 있는 3종의 광고 프로그램 중 "Redirect NWD 64bit (x86) 버전 3.8.3" 프로그램(SHA-1 : 73a9ca932e23fd769dfc47e2bc53b51785b51be4)에 대해 살펴보도록 하겠습니다. Polaris Office 업데이트 완료 시 추가된 국내 제휴 프로그램 정보 (2018.3.8) 해당 광고 프로그램은 설치 과정에서 다음과 같은 프로세스 이름이 존재할 경우 종료 처리한 후 설치가 진행되도록 구성되어 있습니다. taskkill.exe /f /im BaconProgram.exe taskkill.exe /f /im New..
벌새::Analysis 2018. 3. 18. 15:42 광고 제휴 프로그램 : Microsystem NTB Vision (x86) 버전 2.8.2 Polaris Office 프로그램의 업데이트 완료 시점에서 추가되어 사용자의 부주의로 인해 자동 설치될 수 있는 3종의 제휴 프로그램 중 "Microsystem NTB Vision (x86) 버전 2.8.2" 광고 프로그램(SHA-1 : f1c5f6ebc7a38859b0d8c789f780a12445fee70c)에 대해 살펴보도록 하겠습니다. Polaris Office 업데이트 완료 시 추가된 국내 제휴 프로그램 정보 (2018.3.8) 해당 광고 프로그램은 설치 시 실행 중인 파일 중 다음과 같은 파일명을 가진 프로세스가 존재할 경우 종료 처리한 후 설치가 진행됩니다. taskkill.exe /f /im BaconProgram.exe taskkill.exe /f /im Microsystem NTB Vi..
벌새::Analysis 2018. 3. 13. 20:36 광고 제휴 프로그램 : Desktop BCN Drivers (x86) 버전 1.8.1 최근 Polaris Office 프로그램의 업데이트 완료 시점에서 자동으로 추가되어 사용자가 인지하지 못하는 과정에서 설치될 수 있는 광고 제휴 프로그램에 대해 소개한 적이 있었습니다. Polaris Office 업데이트 완료 시 추가된 국내 제휴 프로그램 정보 (2018.3.8) 추가된 3종의 광고 프로그램 중 바탕 화면 및 즐겨찾기 영역에 바로 가기 아이콘을 생성할 수 있는 "Desktop BCN Drivers (x86) 버전 1.8.1" 광고 프로그램(SHA-1 : 265938ac6ea92890032ba77f91448332970cb988)에 대해 살펴보도록 하겠습니다. 해당 광고 프로그램은 설치 시 다음과 같은 4종의 프로세스가 실행 중일 경우 종료한 후 설치가 이루어지도록 제작되어 있습니다. ta..

티스토리툴바