감염시 광고성스팸메일을 대량발송시키는 악성코드 주의! Posted By ASEC , 2010년 7월 7일 오늘 spamer, spambot 등으로 불리는 광고성스팸메일을 뿌리는 악성코드에 상당수의 PC가 감염된 것이 확인되어 관련 내용을 안내해드립니다. 이 악성코드는 아래와 같이 wpv(숫자).exe 파일명으로 퍼져나가고 있습니다. [사용된 파일이름] wpv061278400375.exe wpv791278399429.exe wpv281278399926.exe wpv631278400263.exe wpv621278399510.exe wpv431278399382.exe wpv371278400097.exe wpv511278400048.exe wpv021278399804.exe wpv541278400197.exe wpv091278399986.exe 파일명으로 볼때 Bredolab 의 변종인 것으로 보이네요. 위 악성코드가 실행되면, 아래처럼 explorer.exe 에 ADS형태로 자신을 복사합니다. C:WINDOWSexplorer.exe:userini.exe 또한 Run 레지스트리에 등록하여 부팅시 악성코드가 실행되게 합니다. HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRunuserini “C:WINDOWSexplorer.exe:userini.exe” HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunuserini “C:WINDOWSexplorer.exe:userini.exe” 악성코드가 실행되면 아래화면과 같이 smtp(tcp/25번포트) 로 스팸메일을 발송합니다. 발송되는 메일은 아래와 같습니다. 많이 보던 화면일수도 있겠네요 🙂 메일의 그림을 클릭하면 접속되는 페이지 역시 광고(성인약품)페이지입니다. 프로세스 익스플로러 로 보시면 userini.exe 가 explorer.exe 에 붙어서 동작중인 것을 보실 수 있습니다. [악성코드 삭제방법] V3Lite (www.v3lite.com) 와 같은 백신으로 검사하셔서 치료하시거나(진단명 Win-Trojan/Spambot.숫자) gmer로 간단하게 제거하실 수 있습니다. c:windowsexplorer.exe:userini.exe 를 찾아 Delete 를 누르고 재부팅…
