벌새::Analysis
2011. 4. 27. 14:23
국내 악성코드 : Windows Update 파일로 위장한 wuauclt.exe
과거 웹하드 서비스를 하던 도메인을 이용하여 Windows Update 파일과 동일한 파일명(wuauclt.exe)을 가지는 악성코드가 유포되고 있는 것을 확인하였습니다. 해당 파일의 유포 파일(MD5 : 085d3854d349aa7cf7081eb563252c1f)은 png 확장자를 가지고 있지만 PE 구조로 이루어진 실행 파일로 알약(ALYac) 2.0 보안 제품에서는 Trojan.Swisyn.Info (VirusTotal : 14/42) 진단명으로 진단되고 있습니다. [생성 폴더 / 파일 등록 정보] C:\Programs C:\Programs\SysFiles.ini C:\Programs\wuauclt.exe :: 숨김(H) 속성 / 시작 프로그램 등록 파일 C:\WINDOWS\Temp\temp 해당 ..