윈도우 업데이트를 가장한 악성코드 주의

이전에 포스팅 된 “Antimalware Doctor (가짜백신) 조치가이드” 글에 추가적인 내용을 덧붙입니다.

Antimalware Doctor 라는 FakeAV(백신 프로그램으로 위장한 악성코드)가 윈도우 업데이트를 가장하여 설치가 되고 있어 사용자들의 주의가 당부됩니다.

[그림 1. 윈도우 업데이트로 위장한 악성코드]

우선 대부분의 국내 사용자들은 한글판 윈도우를 사용하고 계시므로 상기 업데이트 창에 현혹되지 않을 가능성이 많지만 영문판 윈도우를 사용하신다면 윈도우 업데이트와 분간하기 어렵기 때문에 사용자들이 확인하지 않고 설치를 할 확률이 높습니다.

http://core.ahnlab.com/172 포스팅에서 알려드린 수동 조치에서 아래와 같은 사항이 추가되어 알려드립니다. 이전 포스팅 된 글의 수동조치 방법을 참고하시어 아래의 파일 및 레지스트리 값을 추가적으로 확인 후 삭제해 주시기 바랍니다.

[파일]
C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFgotnewupdate005002.exe
C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFenemies-names.txt
C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFlocal.ini
C:Documents and Settings사용자계정Application DataMicrosoftInternet ExplorerQuick LaunchAntimalware Doctor.lnk
C:Documents and Settings사용자계정바탕 화면Antimalware Doctor.lnk
C:Documents and Settings사용자계정시작 메뉴Antimalware Doctor.lnk
C:Documents and Settings사용자계정시작 메뉴프로그램Antimalware DoctorAntimalware Doctor.lnk
C:Documents and Settings사용자계정시작 메뉴프로그램Antimalware DoctorUninstall.lnk
C:Documents and Settings사용자계정시작 메뉴프로그램시작프로그램Antimalware Doctor.lnk

[레지스트리]
HKCUSoftwareMicrosoftWindowsCurrentVersionRungotnewupdate005002.exe
“C:Documents and Settings사용자계정Application DataE4357D1B4638C3E8F79B88FC696B53EFgotnewupdate005002.exe”