반응형
예전부터 이용 된 방법이지만, 최근 다시 성행을 하고 있는 악성코드가 있다.
바로 HTA 파일을 이용하여 성인광고를 팝업시키는 악성코드이다.
HTA 파일이란?
- HTML Application 의 약자로써 HTML로 작성 된 어플리케이션이다.
- HTML Application 의 약자로써 HTML로 작성 된 어플리케이션이다.
보통 HTML 확장자의 파일이 동작하면 연결 된 브라우저로 팝업되지만, HTA 확장자 파일은 기본 폼창이 팝업된다.
트렌드마이크로 재팬에서는 다음과 같은 분석내용을 써두었다.
현재 이 악성코드는 성인사이트에서 동영상 재생 시 설치 유도되도록 사용자를 늘리고 있다.
아직 많은 수의 악성파일이 수집 되진 않았지만, 수집되는 대로 새로운 정보를 올려야 겠다.
- 삭제 방법 : 작업관리자를 통해 프로세스를 확인해 보면 "mshta.exe"가 동작되고 있다.
우선 이 프로세스를 종료 시킨 후, Run레지스트를 확인하여 삭제하면 된다.
현재까지 수집 된 악성코드 내용은 다음과 같다.
- 악성파일 위치 :
C:\Documents and Settings\All Users\Application Data\heart\message.dll
C:\Documents and Settings\All Users\Application Data\heart\A489H0H4.hta
- 레지스트리 위치 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"webbeart" = "rundll32.exe "C:\Documents and Settings\All Users\Application Data\heart\message.dll",_goMES@16 C:\Documents and Settings\All Users\Application Data\heart\A489H0H4.hta"
다음은 팝업 되는 사진들의 목록이다.
'IT 보안소식' 카테고리의 다른 글
| 네이트온(NateOn Messenger) 본인인증 서비스 실시 (6) | 2009.12.31 |
|---|---|
| 보안회사 2009 보안 이슈 정리(추가) (0) | 2009.12.30 |
| PDF 취약점으로 실행되는 악성코드 방지를 위한 Dll 인젝션 방법 (2) | 2009.12.18 |
| MP3 파일이 첨부 된 스팸메일 발견 (4) | 2009.12.18 |
| Facebook 패스워드 교체를 요구하는 스팸메일 주의!! (2) | 2009.12.16 |
댓글