하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Backdoor.Win32.Agobot.121020
바이로봇 버전정보 : 2007-05-30.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2021-05-10 09:25:00

       ■ Backdoor.Win32.Agobot.121020


          A. 감염 경로
                 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치된다.


          B. 감염 증상

                 1) 다음 파일들을 생성한다..
                           (시스템 폴더)\c_10810.nls
                           (시스템 폴더)\c_19460.nls
                           (시스템 폴더)\c_20462.nls
                           (시스템 폴더)\inter32.dll
                           (시스템 폴더)\msregsv.exe
                           (시스템 폴더)\serlibk.exe
                           (시스템 폴더)\shell64.dll
                           (시스템 폴더)\shlmon.exe

                 2) 부팅시 자동 실행 되도록 다음 경로에 자가복제 한다.
                           (사용자 폴더)\Start Menu\Programs\Startup\officexp.exe

                 3) 레지스트리 값을 변경하여 생성한 파일을 시스템에 등록한다.
                           키 : HKLM\SOFTWARE\Classes\CLSID\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
                           이름 : InProcServer32
                           값 : (시스템 폴더)\shell64.dll

                 4) 레지스트리 값을 변경하여 보호된 운영 체제 파일 숨기기 옵션을 "사용 안함"으로 변경한다.
                           키 : HKU\(UID)\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
                           이름 : ShowSuperHidden
                           값 : 0x00000000
             - 재발방지방안

                 5) 숨김파일, 확장자 공개설정 및 UAC(사용자 계정 컨트롤)을 활성화 하고 확인되지 않은 사이트 접속시 주의한다.


          C. 치료 방법
                 바이로봇 2007-05-30.01 이상 버전으로 치료된다.


          D. 위험도
                 보통

Top