하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.Z.Ursnif.2553856
바이로봇 버전정보 : 2018-02-23.04     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:44:37

       ■ Trojan.Win32.Z.Ursnif.2553856


          A. 감염 경로
                 P2P 또는 제작자가 파일을 업로드한 웹사이트로부터 다운로드받을 수 있다.


          B. 감염 증상

                 1) 다음과 같은 경로에 자가복제를 한다.
                                  (%AppData%)\Microsoft\Api-gsvc\amxrircl.exe

                 2) 레지스트리를 등록하여 부팅 시 자동으로 실행되도록 한다.
                                  경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                                  키 : d3d1roxy
                                  값 : (%AppData%)\Microsoft\Api-gsvc\amxrircl.exe

                 3) "amxrircl.exe"를 "explorer.exe"에 인젝션한다.

                 4) 다음과 같은 경로에 파일을 생성하고 삭제한다.
                                  (%temp%)\(랜덤파일명).bin

                 5) 다음과 같은 네트워크에 지속적으로 접속을 한다.
                                  e14.alluringpleasure4you.com (173.44.42.155)
                                  175.126.163.144

                 6) 사용자의 키보드 입력값을 탈취하여 전송한다.


          C. 치료 방법
                 바이로봇 2018-02-23.04 이상 버전으로 치료된다.


          D. 위험도
                 보통

Top