KMSAuto 파일이란 불법 윈도우 정품인증 도구로서, 불법 크랙에 해당되어 백신 프로그램에 탐지되는데, 윈도우 불법 인증을 하기 위해 예외처리를 하거나 악성코드로 감지되더라도 무심코 사용하는 경우가 많다.
하지만 해커들은 이런 사용자들의 인식을 악용하여 KMSAuto에 악의적인 기능(인증 변조용 서버 접속을 통해 추가적인 악성코드 유포, 랜섬웨어 유포 등)을 심어 KMSAuto을 위장하여 악성파일을 유포하고 있다.
증상 및 요약
Unwanted/Win32.AutoKMS.C3309151는 Windows 운영체제 및 Office 제품군을 불법적으로 인증하는 유해가능 프로그램이다.
상세 정보
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
Windows 운영체제 정품 인증 서버인 KMS를 통해 합법적인 정품 인증을 받지 않고, 사용자 PC에 KMS 서버를 임시로 구축하여 불법적인 정품 인증을 시도한다.
파일 실행 시 악성파일을 자가복제하여 강제로 Microsoft Toolkit 2.6.2를 설치한다.
악성네트워크와 통신하여 다수의 dll파일을 설치하며 레지스트리에 키 등록을 통해 자동실행된다.
[파일 생성]
[레지스트리 값 등록]
[네트워크 연결]