벌새::Analysis
2015. 7. 20. 12:32
상업적 키워드 입력을 통한 네이버(Naver) 자동 검색 프로그램 주의 (2015.7.20)
2014년 9월경부터 현재까지 "raten.cafe24.com / tens.cafe24.com" 웹 서버를 통해 상업적 검색 키워드를 이용하여 네이버(Naver) 포털 검색 서비스를 어뷰징하는 악성코드 유포 행위에 대해 살펴보도록 하겠습니다. 현재 인터넷 상에 공개된 실제 감염 PC 상태를 단적으로 보여주는 내용을 종합하여 한 장으로 압축해보면 Windows 시작시 "C:\Program Files (x64)\Microsoft.NET\rqsvz.exe" 악성 파일이 자동 실행되어 기능을 수행하다가, 주기적으로 새로운 변종을 서버에서 다운로드하여 "C:\Program Files (x64)\Microsoft.NET\mqsvz.exe" 파일로 변경하는 것으로 추정합니다. 32비트 : C:\Program File..