Trojan.Win32.Z.Ursnif.2553856
바이로봇 버전정보 :
2018-02-23.04 활동 OS 플랫폼 :
MS Windows 감염시 위험도 :
- 등록일 :
- 2018-09-21 11:44:37
■ Trojan.Win32.Z.Ursnif.2553856
A. 감염 경로
P2P 또는 제작자가 파일을 업로드한 웹사이트로부터 다운로드받을 수 있다.
B. 감염 증상
1) 다음과 같은 경로에 자가복제를 한다.
(%AppData%)\Microsoft\Api-gsvc\amxrircl.exe
2) 레지스트리를 등록하여 부팅 시 자동으로 실행되도록 한다.
경로 : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
키 : d3d1roxy
값 : (%AppData%)\Microsoft\Api-gsvc\amxrircl.exe
3) "amxrircl.exe"를 "explorer.exe"에 인젝션한다.
4) 다음과 같은 경로에 파일을 생성하고 삭제한다.
(%temp%)\(랜덤파일명).bin
5) 다음과 같은 네트워크에 지속적으로 접속을 한다.
e14.alluringpleasure4you.com (173.44.42.155)
175.126.163.144
6) 사용자의 키보드 입력값을 탈취하여 전송한다.
C. 치료 방법
바이로봇 2018-02-23.04 이상 버전으로 치료된다.
D. 위험도
보통