■ Trojan.Win32.Z.Agent.164864.O
A. 감염 경로
Trojan.Win32.Z.Agent.164864.O는 해킹 당한 사이트에서 다운로드 되거나 다른 악성코드(스파이웨어, 애드웨
어, 드로퍼 등)에 의해 설치될 수 있다.
B. 감염 증상
1) 다음 위치에 파일을 다운받아 다음 위치에 파일을 생성한다.
C:\Users\(사용자명)\AppData\Local\Temp\(랜덤파일명).exe
2) 생성된 파일은 다음 위치에 자신을 복제한다.
C:\Documents and Settings\(사용자명)\(랜덤파일명).exe
(Trojan.Win32.Z.Wigon.192787)
3) 레지스트리에 등록하여 사용자 로그인시 자동으로 실행할 수 있도록 한다.
키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
이름: (랜덤파일명)
값 : C:\Documents and Settings\(사용자명)\(랜덤파일명).exe
4) svchost.exe를 이용해 네트워크 통신을 하며 다량의 패킷을 생성한다.
[그림 1] svchost.exe 호출[그림 2] TCP 통신 5) Trojan.Win32.Downloader.824320.A는 추가적인 악성코드를 사용자의 PC에 생성하는 악성코드이다.
C. 치료 방법
바이로봇 2014-08-04.01 이상 버전으로 치료된다.