하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Dropper.S.Agent.208896.DJ
바이로봇 버전정보 : 2018-05-30.02     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:47:15

    ■ Dropper.S.Agent.208896.DJ

       A. 감염 경로

           Dropper.S.Agent.208896.DJ 는 자체적인 전파기능을 가지고 있지 않으며, 해킹 당한 사이트에서 다운로드 되거
           나 패키지 프로그램에 의해 설치될 수 있다.

       B. 감염 증상

           1) Dropper.S.Agent.208896.DJ는 실행 시 다음과 같은 경로에 파일을 생성한다.
              C:\Windows\System32\scardprv.dll            (Trojan.Win32.DllBot.77824.A)
              C:\Windows\System32\Wmmvsvc.dll        (Worm.Win32.S.Agent.91664)
              C:\Windows\System32\mssscardprv.ax        (정보수집 파일)

           2) 생성된 파일은 RAT와 SMB를 이용한 웜 바이러스로 정상 프로세스에 인젝션되어 동작한다.

[그림 1] SMB통신 확인


           3) 사용자 시스템 정보를 수집하여 생성된 파일에 저장하며 다음과 같은 주소로 전송한다.
              misswang8107@gmail.com
              redhat@gmail.com

           4) 서비스에 등록되어 부팅 시 자동으로 실행합니다.

           5) 특정 다수의 서버와 지속적으로 통신을 시도하며 공격자의 명령에 따라 추가적인 악성행위가 발생할 수 있다.

       C. 치료 방법

           바이로봇 2018-05-30.02 이상 버전으로 치료된다.

       D. 위험도

           보통

Top