■ Trojan.Win32.Agent.63488.AO
A. 감염 경로
Trojan.Win32.Agent.63488.AO는 이동식 디스크를 통한 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트
에서 다운로드 되거나 패키지 프로그램에 의해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.Agent.63488.AO는 폴더로 위장하고 있으며 실행 시 다음과 같은 서버와 지속적으로 통신을 시도한다.
jebena.ananikolic.su (193.166.255.171)
peer.pickeklosarske.ru (34.206.236.97)
juice.losmibracala.org (208.100.26.242)
2) 레지스트리에 등록되어 부팅 시 자동으로 실행된다.
키 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman
이름 : (실행된 파일의 경로)
값 : (실행된 파일의 경로)
3) 이동식 드라이브가 연결될 경우 실행 파일과 Autorun.inf 파일을 생성하여 드라이브 연결 시 파일이 자동 실행되도록 한다.
(이동식디스크)\rakija\svrbi.exe (자가복제)
(이동식디스크)\autorun.inf
[그림 1] autorun.inf 4) 웜 바이러스로 이동식디스크를 감염시키고 전파한다.
C. 치료 방법
바이로봇 2018-06-27.02 이상 버전으로 치료된다.
D. 위험도
보통