하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Dropper.Agent.824320
바이로봇 버전정보 : 2015-09-09.03     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2016-10-04 11:29:05

    ■ Dropper.Agent.824320


       A. 감염 경로

           Dropper.Agent.824320는 자체적인 전파기능을 가지고 있지 않으며, 해킹 당한 사이트에서 다운로드 되거나 다른 악
           성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치될 수 있다.


       B. 감염 증상

           1) Dropper.Agent.824320는 실행 시 다음 경로 및 파일을 생성한다.
              C:\Documents and Settings\User\Application Data
              \Microsoft\Windows\natsv.exe    //Trojan.Win32.S.Agent.9728.AVN

           2) C:\Documents and Settings\User\Application Data
              \Microsoft\Windows\dnsmon.exe    //자가복제

           3) dnsmon.exe 와 natsv.exe 는 .NET 관련 개발프로그램 SmartAssembly 로 개발되어 있으며 서로
              간의 상태를 계속 체크하면서 서로를 백그라운드에서 실행시킨다.


[그림 1] 프로그램 내부 정보


[그림 2] dnsmon.exe 파일 확인


           4) 네트워크 접속 행위나 서로를 생성하고 계속 실행 시키는 등의 악성행위 외에는 별다른 악성행위가 발견되지 않으나, 특정 중
              국어로 된 String 을 지속적으로 확인하는 부분이 발견되어 다른 악성코드와 연동되거나 Backdoor 류로 악용될 여지가
              있어 사용자들의 주의가 요구된다.


       C. 치료 방법

           바이로봇 2015-09-09.03 이상 버전으로 치료된다.

Top