반응형
분명 파일은 %WINDOWS% 폴더에 자신을 stdw.exe 파일명으로 복사한다.
이후 부팅 시 자동시작을 위해 레지스트리를 수정하는데 웃기게도 %WINDOWS%가 아닌 %SYSTEM32%폴더에 stdw.exe를 찾는다.
아하~ 이게 먼 웃긴 퍼포먼스인가 ㅋㅋㅋ
지루한 오후에 나에게 웃음을 주는구나 ㅎㅎ
제작자를 찾아보고 싶을 정도이다!!
(그림 1. Windows 폴더에 생성 된 stdw.exe 파일)
(그림 2. 레지스트리에서 찾는 위치는 system32폴더의 stdw.exe 파일)
하지만 악성행위는 짜증;;
65.55.92.152:25 SMTP 서버를 통해 스팸메일을 발송시킨며, 다음과 같이 보안관련 프로세스를 모두 종료시킨다.
ZONEALARM.EXE
NVC95.EXE
NUPGRADE.EXE
NORMIST.EXE
NMAIN.EXE
NISUM.EXE
NAVWNT.EXE
NAVW32.EXE
NAVNT.EXE
NAVLU32.EXE
NAVAPW32.EXE
N32SCANW.EXE
TASKMGR.EXE
TCM.EXE
TCA.EXE
NAVAPSVC.EXE
mcagent.exe
mcvsshld.exe
mcshield.exe
mcvsescn.exe
mcvsrte.exe
DefWatch.exe
Rtvscan.exe
ccEvtMgr.exe
NISUM.EXE
ccPxySvc.exe
navapsvc.exe
NPROTECT.EXE
nopdb.exe
ccApp.exe
Avsynmgr.exe
VsStat.exe
Vshwin32.exe
alogserv.exe
RuLaunch.exe
Avconsol.exe
PavFires.exe
FIREWALL.EXE
ATUPDATER.EXE
LUALL.EXE
DRWEBUPW.EXE
AUTODOWN.EXE
NUPGRADE.EXE
OUTPOST.EXE
ICSSUPPNT.EXE
ICSUPP95.EXE
ESCANH95.EXE
AVXQUAR.EXE
ESCANHNT.EXE
ATUPDATER.EXE
AUPDATE.EXE
AUTOTRACE.EXE
AUTOUPDATE.EXE
AVXQUAR.EXE
AVWUPD32.EXE
AVPUPD.EXE
CFIAUDIT.EXE
UPDATE.EXE
NUPGRADE.EXE
MCUPDATE.EXE
pavsrv50.exe
AVENGINE.EXE
APVXDWIN.EXE
pavProxy.exe
navapw32.exe
navapsvc.exe
ccProxy.exe
navapsvc.exe
NPROTECT.EXE
SAVScan.exe
SNDSrvc.exe
symlcsvc.exe
LUCOMS~1.EXE
blackd.exe
FrameworkService.exe
VsTskMgr.exe
SHSTAT.EXE
UpdaterUI.exe
NAV.EXE
'IT 보안소식' 카테고리의 다른 글
MSN 메신저로 전파되는 피싱사이트 - "당신은 잘생겼으니 나와 채팅합시다!!" (0) | 2010.05.26 |
---|---|
MSN 메신저로 전파되는 피싱사이트 - "나는 지금 캠중이다!!" (0) | 2010.05.25 |
인터넷침해대응센터(KrCert), 사이버공격 위험성 증가에 따른 ‘관심’ 경보 발령 (0) | 2010.05.24 |
다시 퍼지는 7.7 DDoS 확산설, 사실일까? (0) | 2010.05.20 |
시만텍(Symantec), 업데이트로 인한 World of Warcraft 파일(scan.dll) 오진소식 (4) | 2010.05.18 |
댓글