HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

I-Worm.Win32.VB.118784
바이로봇 버전정보 : 2007-07-19.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2020-05-21 13:51:30

    ■ I-Worm.Win32.VB.118784

       A. 감염 경로

           I-Worm.Win32.VB.118784는 이동식디스크를 통한 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트에서 다운로
           드 되거나 패키지 프로그램에 의해 설치될 수 있다.

       B. 감염 증상

           1) I-Worm.Win32.VB.118784는 실행 시 다음과 같은 경로에 자가복제 후 다시 실행한다.
               자가복제 경로 : C:\Windows\svchost.exe
               자가복제 경로 : C:\Windows\System32\BttServ.exe

           2) 레지스터에 등록되어 부팅 시 자동으로 실행된다.
               키 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
               이름 : (Default)
               데이터 : C:\Windows\svchost.exe
               이름 : CPQEASYBTTN
               데이터 : C:\WINDOWS\system32\BttnServ.exe

           3) 이동식디스크가 연결될 경우 특정파일 이름으로 복제파일을 생성한다.
              - (이동식디스크)\New File.exe

[그림 1] 이동식디스크에 복제파일 생성


           4) C&C서버와 현재 통신이 되지 않아 추가적인 행위가 발생하지 않는다.
               C&C주소 : mail.madcoffee.com

       C. 치료 방법

           바이로봇 2007-07-19.01 이상 버전으로 치료된다.

       D. 위험도

           보통

Top