벌새::Analysis
2015. 11. 2. 19:55
국내 악성코드 : catroot
사용자 몰래 설치되어 추가적인 광고 프로그램 설치를 시도할 수 있는 국내에서 제작된 catroot 악성 프로그램에 대해 살펴보도록 하겠습니다. 국내 악성코드 : wininlt (2015.10.30) 해당 프로그램은 국내에서 제작된 wininlt 악성 광고 프로그램이 설치된 환경에서 사용자 동의없이 자동으로 설치되는 방식으로 유포가 이루어지고 있습니다. 설치 과정을 살펴보면 배포 파일 다운로드 및 실행을 통해 업데이트 서버에 등록된 catroot 설치 파일을 추가 다운로드하여 "C:\Users\Public\Documents\catins1.exe" 파일로 생성되어 다음과 같은 프로그램 설치를 완료 후 자동 삭제 처리됩니다. [생성 폴더 / 파일 등록 정보] C:\Windows\System32\AppCompa..