벌새::Analysis
2010. 9. 10. 21:04
국내 악성코드 : 가짜 티스토리(Tistory) 블로그 홈페이지를 이용하는 웹플러스(WebPlus)
국내에서 제작된 금전적 수익을 목적으로 제작된 악성코드 웹플러스(WebPlus) 프로그램에 대해 살펴보도록 하겠습니다. 해당 프로그램의 특징은 설치시 이용약관을 제시하지만 서비스 업체 홈페이지 정보를 확인할 수 없으며, 실제 프로그램 동작 과정에서 확인한 홈페이지는 가짜 티스토리(Tistory) 블로그 안내창으로 구성되어 있는 것을 확인할 수 있었습니다. 참고로 해당 프로그램의 설치 파일(MD5 : a6dc0be1cdccd4448cbce64427689980)에 대하여 Norman 보안 제품에서는 W32/Agent.UTOV (VirusTotal : 7/43) 진단명으로 진단되고 있으므로 참고하시기 바랍니다. [생성 파일 진단 정보] C:\Program Files\WebPlus\WebPlus.exe (MD5..