HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.175616.KJ
바이로봇 버전정보 : 2018-07-18.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:49:05

    ■ Trojan.Win32.S.Agent.175616.KJ

       A. 감염 경로

           Trojan.Win32.S.Agent.175616.KJ는 이동식 디스크를 통한 자체적인 전파기능을 가지고 있지며, 해킹 당한
           사이트에서 다운로드 되거나 패키지 프로그램에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.Agent.175616.KJ는 실행 시 최초 실행된 파일을 자가복제 후 삭제한다.
               (%APPDATA%)\ScreenSaverPro.scr
               (%APPDATA%)\temp.bin
               (%APPDATA%)\Microsoft\Gotmts.exe

           2) 생성된 파일은 레지스트리에 등록되어 부팅 시 자동으로 실행된다.
               키 : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
               이름 : Scrrn Saver Pro 3.1
               값 : (%APPDATA%)\ScreenSaverPro.scr

           3) 정상프로세스에 인젝션되어 동작한다.
               프로세스명 : mspaint.exe

           4) 다음과 같은 C&C 서버와 통신을 시도하고 추가적인 악성코드를 받아와서 실행한다.
               C&C 서버 : api.wipmania.com.stcus.ru/icon/n.api (84.38.129.47)
               다운로드 파일 : (%temp%)\apiwipmania.com (Trojan.Win32.S.Agent.325632.DP)

           5) 다음과 같은 C&C 서버와 지속적으로 통신을 시도하며 명령에 따라 추가적인 악성행위가 이루어질 수 있다.
               C&C 서버 : 199.2.137.29:6531

[그림 1] 통신 시도


       C. 치료 방법

           바이로봇 2018-07-18.01 이상 버전으로 치료된다.

       D. 위험도

           보통

Top