벌새::Analysis
2015. 10. 30. 22:28
국내 악성코드 : wininlt
사용자 몰래 다음(Daum), 네이버(Naver) 검색 서비스에 특정 검색 키워드를 이용한 인터넷 검색을 자동으로 수행하며, 업데이트 기능을 통해 다수의 광고 프로그램을 사용자 동의없이 설치할 수 있는 국내에서 제작된 wininlt 악성 광고 프로그램에 대해 살펴보도록 하겠습니다. 확인된 배포 파일은 2015년 8월 14일경 발견되고 있지만, 최초 배포는 2014년 12월경부터 지속적으로 변종을 배포한 것으로 추정됩니다. 설치 과정을 살펴보면 배포 파일 실행을 통해 "C:\Program Files\Windows Sidebar\wininlt_setup.exe" wininlt 설치 파일을 임시 생성하여 프로그램 설치가 진행된 후 자가 삭제 처리됩니다. 참고로 정상적인 PC 환경에서도 존재하는 "C:\Prog..