2010. 12. 4. 02:53

악성코드가 설치된 웹사이트 이용시 윈도우의 취약점을 이용하여 설치되는 스파이웨어다.

배포처는 국내이며, u.exe 파일이 실행된 후 생성되는 파일을 Winlogon 키에 등록하여 로그온할 때마다 자동실행된다.

u.exe 파일이 실행되면 생성되는 파일은 5자리이며 파일명은 랜덤이다.
로그온키에 레지스트리값을 등록하면 자신(u.exe)은 자동삭제된다.

남아있는 파일이 로그온할 때마다 실행되어 또다른 악성코드를 다운로드하고 설치하거나 사용자정보를 캐내는 스파이웨어다.

랜덤으로 파일이 생성되므로 프로세스를 찾기가 좀 어렵지만 [Winlogon] 레지스트리키의 Userinit에서 userinit.exe 값을 제외하고 모두 삭제한다.

레지스트리값(삭제전)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit - C:\WINDOWS\system32\userinit.exe,랜덤파일명.exe

콤마(,)는 기본값이므로 지우면 안된다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit - C:\WINDOWS\system32\userinit.exe,


몇번이나 실행했는지는 모르는데 계속 루프를 돌리니 시스템이 다운될 정도다.

C:\WINDOWS\system32\ahfsu.exe
C:\WINDOWS\system32\apsct.exe
C:\WINDOWS\system32\beesu.exe
C:\WINDOWS\system32\bejlu.exe
C:\WINDOWS\system32\bewlu.exe
C:\WINDOWS\system32\bqesu.exe
C:\WINDOWS\system32\bqupt.exe
C:\WINDOWS\system32\bquqt.exe
C:\WINDOWS\system32\bqwku.exe
C:\WINDOWS\system32\bsepu.exe
C:\WINDOWS\system32\bsihu.exe
C:\WINDOWS\system32\bxxpu.exe
C:\WINDOWS\system32\ccjru.exe
C:\WINDOWS\system32\clpbt.exe
C:\WINDOWS\system32\cmafu.exe
C:\WINDOWS\system32\conqt.exe
C:\WINDOWS\system32\cpwqu.exe
C:\WINDOWS\system32\cqpat.exe
C:\WINDOWS\system32\czjdt.exe
C:\WINDOWS\system32\dazst.exe
C:\WINDOWS\system32\dbabt.exe
C:\WINDOWS\system32\deuat.exe
C:\WINDOWS\system32\dlmiu.exe
C:\WINDOWS\system32\dutlu.exe
C:\WINDOWS\system32\dzoat.exe
C:\WINDOWS\system32\eegku.exe
C:\WINDOWS\system32\eiert.exe
C:\WINDOWS\system32\eolrt.exe
C:\WINDOWS\system32\fflmw.exe
C:\WINDOWS\system32\fjceu.exe
C:\WINDOWS\system32\flmru.exe
C:\WINDOWS\system32\fnlou.exe
C:\WINDOWS\system32\frfct.exe
C:\WINDOWS\system32\fvdrt.exe
C:\WINDOWS\system32\fyzct.exe
C:\WINDOWS\system32\gadju.exe
C:\WINDOWS\system32\gbxnu.exe
C:\WINDOWS\system32\glxat.exe
C:\WINDOWS\system32\gsirt.exe
C:\WINDOWS\system32\hguiu.exe
C:\WINDOWS\system32\hivvv.exe
C:\WINDOWS\system32\hpwat.exe
C:\WINDOWS\system32\hxhuv.exe
C:\WINDOWS\system32\iclqt.exe
C:\WINDOWS\system32\iconu.exe
C:\WINDOWS\system32\imoat.exe
C:\WINDOWS\system32\iocru.exe
C:\WINDOWS\system32\irjhv.exe
C:\WINDOWS\system32\isgku.exe
C:\WINDOWS\system32\jnzat.exe
C:\WINDOWS\system32\jonou.exe
C:\WINDOWS\system32\kaqtt.exe
C:\WINDOWS\system32\kcfru.exe
C:\WINDOWS\system32\kdjqt.exe
C:\WINDOWS\system32\kfrvv.exe
C:\WINDOWS\system32\kisqu.exe
C:\WINDOWS\system32\ksfmu.exe
C:\WINDOWS\system32\ktqqt.exe
C:\WINDOWS\system32\lrepu.exe
C:\WINDOWS\system32\lrldt.exe
C:\WINDOWS\system32\lvcrt.exe
C:\WINDOWS\system32\lxqat.exe
C:\WINDOWS\system32\mddru.exe
C:\WINDOWS\system32\mjapt.exe
C:\WINDOWS\system32\mqbuv.exe
C:\WINDOWS\system32\mrqou.exe
C:\WINDOWS\system32\msnqt.exe
C:\WINDOWS\system32\nazrt.exe
C:\WINDOWS\system32\ncipu.exe
C:\WINDOWS\system32\ncobt.exe
C:\WINDOWS\system32\nksqt.exe
C:\WINDOWS\system32\nlvdt.exe
C:\WINDOWS\system32\ntpbt.exe
C:\WINDOWS\system32\oahpu.exe
C:\WINDOWS\system32\odbsu.exe
C:\WINDOWS\system32\ognat.exe
C:\WINDOWS\system32\opgwv.exe
C:\WINDOWS\system32\osndt.exe
C:\WINDOWS\system32\ozsqt.exe
C:\WINDOWS\system32\pgsct.exe
C:\WINDOWS\system32\pklyt.exe
C:\WINDOWS\system32\pojeu.exe
C:\WINDOWS\system32\psyat.exe
C:\WINDOWS\system32\qcqlu.exe
C:\WINDOWS\system32\qnceu.exe
C:\WINDOWS\system32\qneru.exe
C:\WINDOWS\system32\qokbt.exe
C:\WINDOWS\system32\qzyqu.exe
C:\WINDOWS\system32\rberu.exe
C:\WINDOWS\system32\rcpju.exe
C:\WINDOWS\system32\rcqct.exe
C:\WINDOWS\system32\rlbiu.exe
C:\WINDOWS\system32\rocmu.exe
C:\WINDOWS\system32\rowat.exe
C:\WINDOWS\system32\rudnu.exe
C:\WINDOWS\system32\rziuv.exe
C:\WINDOWS\system32\saibt.exe
C:\WINDOWS\system32\sbmst.exe
C:\WINDOWS\system32\scugu.exe
C:\WINDOWS\system32\snvdt.exe
C:\WINDOWS\system32\sscru.exe
C:\WINDOWS\system32\tanqu.exe
C:\WINDOWS\system32\tbuct.exe
C:\WINDOWS\system32\tmmiu.exe
C:\WINDOWS\system32\uaehu.exe
C:\WINDOWS\system32\ubttu.exe
C:\WINDOWS\system32\ucxrt.exe
C:\WINDOWS\system32\ufsat.exe
C:\WINDOWS\system32\uhgru.exe
C:\WINDOWS\system32\uhzat.exe
C:\WINDOWS\system32\uizzt.exe
C:\WINDOWS\system32\unmqu.exe
C:\WINDOWS\system32\uofbt.exe
C:\WINDOWS\system32\uokqt.exe
C:\WINDOWS\system32\upzct.exe
C:\WINDOWS\system32\uwntu.exe
C:\WINDOWS\system32\vhxat.exe
C:\WINDOWS\system32\vjrat.exe
C:\WINDOWS\system32\vllmu.exe
C:\WINDOWS\system32\vlwrt.exe
C:\WINDOWS\system32\vpqfu.exe
C:\WINDOWS\system32\vrxxv.exe
C:\WINDOWS\system32\vsxnu.exe
C:\WINDOWS\system32\vtwst.exe
C:\WINDOWS\system32\vylbt.exe
C:\WINDOWS\system32\wcwlu.exe
C:\WINDOWS\system32\wdbrt.exe
C:\WINDOWS\system32\wfpat.exe
C:\WINDOWS\system32\wjqct.exe
C:\WINDOWS\system32\wqcms.exe
C:\WINDOWS\system32\wvbpt.exe
C:\WINDOWS\system32\wxhqt.exe
C:\WINDOWS\system32\xdnuv.exe
C:\WINDOWS\system32\xhuiu.exe
C:\WINDOWS\system32\xjngu.exe
C:\WINDOWS\system32\xkawt.exe
C:\WINDOWS\system32\xpcru.exe
C:\WINDOWS\system32\xuhgu.exe
C:\WINDOWS\system32\xxoat.exe
C:\WINDOWS\system32\yeaku.exe
C:\WINDOWS\system32\yftnu.exe
C:\WINDOWS\system32\ykotu.exe
C:\WINDOWS\system32\ynmju.exe
C:\WINDOWS\system32\yoabt.exe
C:\WINDOWS\system32\yquat.exe
C:\WINDOWS\system32\ytgku.exe
C:\WINDOWS\system32\ytoru.exe
C:\WINDOWS\system32\yyoqu.exe
C:\WINDOWS\system32\zdrgu.exe
C:\WINDOWS\system32\zfqqt.exe
C:\WINDOWS\system32\zlqpt.exe

시스템 디렉토리에 파일명이 5자리이면서 알 수 없는(규칙이 없는) 파일이 있으면 삭제한다.
위 레지스트리경로에서 해당 프로세스값을 삭제한다.

다른글 보기
2010/10/28 - [시스템관리] - 인터넷 검색도우미 미니서치, Mini Search 삭제하기
2010/08/22 - [시스템관리] - 인터넷 검색도우미 웹컴파스 WebCompass 삭제하기
2010/07/19 - [시스템관리] - 인터넷 검색도우미 SideBarHelper, ibrows 삭제하기
2010/07/19 - [시스템관리] - 악성코드를 설치하는 스파이웨어 WinLM4G, wincla.dat 삭제하기
2010/07/10 - [바이러스] - system_beb.exe, dllhost.exe, svchost.exe 스파이웨어
2010/06/08 - [바이러스] - WinLNM, ylt, tkun2.dll 스파이웨어 한번에 삭제하기

Posted by jinmoda