실행프로세스, 은폐기법 사용-정상파일처럼 위장

지오트(www.geot.com)는 최근 유포된 특정 트로이목마를 분석한 결과 실행프로세스를 보이지 않게 하는 은폐기법을 적용한 것이 확인됐다고 8일 밝혔다.

이 트로이목마는 시스템폴더에 있는 userinit.exe 와 비슷한 이름을 사용해 위장했으며 사용자가 쉽게 발견하지 못하게 하기 위한 기능으로 악성프로그램이 지속적으로 발전하고 있다는 것을 보여주고 있다.

이 트로이목마에 감염되면 다른 정상적인 프로세스도 은폐되는 증상이 발생하기도 한다.

컴퓨터 시스템폴더에 정상파일처럼 위장하고 있는 usrinit.exe, winsvc.dll라는 파일이 존재한다면 트로이목마에 감염된 상태이다.

userinit.exe -> 정상 프로그램(Userinit Logon Application)

usrinit.exe -> 악성 프로그램(Trojan-PSW)

여기서 userinit.exe 는 정상파일이므로 절대 삭제하면 안된다.

usrinit.exe이 수동으로 삭제가 되지 않는다면 안전모드로 부팅 후 삭제하거나, 파일명을 변경 후 재부팅한 다음에 삭제한다.

또는 아래 전용백신을 이용해 손쉽게 진단ㆍ치료가 가능하다.

전용백신 다운로드

www.geot.com/Wormcure/anti_usrinit.exe

감염된 경우 아래와 같은 메시지창이 출력된다.

[박은수 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>