본문 바로가기
악성코드 정보

윈도우 업데이트를 가장한 악성코드 주의

by 알 수 없는 사용자 2010. 6. 3.
이전에 포스팅 된 “Antimalware Doctor (가짜백신) 조치가이” 글에 추가적인 내용을 덧붙입니다.

Antimalware Doctor 라는 FakeAV(백신 프로그램으로 위장한 악성코드)가 윈도우 업데이트를 가장하여 설치가 되고 있어 사용자들의 주의가 당부됩니다.

[그림 1. 윈도우 업데이트로 위장한 악성코드]


우선 대부분의 국내 사용자들은 한글판 윈도우를 사용하고 계시므로 상기 업데이트 창에 현혹되지 않을 가능성이 많지만 영문판 윈도우를 사용하신다면 윈도우 업데이트와 분간하기 어렵기 때문에 사용자들이 확인하지 않고 설치를 할 확률이 높습니다.



http://core.ahnlab.com/172 포스팅에서 알려드린 수동 조치에서 아래와 같은 사항이 추가되어 알려드립니다. 이전 포스팅 된 글의 수동조치 방법을 참고하시어 아래의 파일 및 레지스트리 값을 추가적으로 확인 후 삭제해 주시기 바랍니다.

[파일]
C:\Documents and Settings\사용자계정\Application Data\E4357D1B4638C3E8F79B88FC696B53EF\gotnewupdate005002.exe
C:\Documents and Settings\사용자계정\Application Data\E4357D1B4638C3E8F79B88FC696B53EF\enemies-names.txt
C:\Documents and Settings\사용자계정\Application Data\E4357D1B4638C3E8F79B88FC696B53EF\local.ini
C:\Documents and Settings\사용자계정\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
C:\Documents and Settings\사용자계정\바탕 화면\Antimalware Doctor.lnk
C:\Documents and Settings\사용자계정\시작 메뉴\Antimalware Doctor.lnk
C:\Documents and Settings\사용자계정\시작 메뉴\프로그램\Antimalware Doctor\Antimalware Doctor.lnk
C:\Documents and Settings\사용자계정\시작 메뉴\프로그램\Antimalware Doctor\Uninstall.lnk
C:\Documents and Settings\사용자계정\시작 메뉴\프로그램\시작프로그램\Antimalware Doctor.lnk


[레지스트리]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\gotnewupdate005002.exe     
"C:\Documents and Settings\사용자계정\Application Data\E4357D1B4638C3E8F79B88FC696B53EF\gotnewupdate005002.exe"

댓글