■ VBS.Dropper.B
A. 감염 경로
VBS.Dropper.B는 스팸 메일의 첨부파일로 유포되거나 해킹 당한 사이트에 접속 시 ActiveX설치를 통해 감염될 수 있다.
B. 감염 증상
1) VBS.Dropper.B는 정상적인 HTML파일에 악의적인 스크립트 코드를 삽입하여 악성코드 설치를 유도한다.
[그림 1] 정상적인 HTML파일로 위장 2) 아래 그림과 같이 정상 HTML파일에 VBS 스크립트가 삽입되어 있다.
[그림 2] HTML파일에 삽입된 VBS 스크립트 3) VBS 스크립트가 실행되면 다음과 같은 경로에 svchost.exe 파일명으로 파일을 생성하고 Hex코드로 삽입 후 sv
chost.exe 파일을 실행한다.
(%temp%)\svchost.exe
[그림 3] 삽입되는 Hex코드 4) svchost.exe 파일이 실행되면 컴퓨터정보 및 프로세스정보를 탈취하는 키로거 기능을 한다.
C. 치료 방법
바이로봇 2011-04-19.02 이상 버전으로 치료된다.
D. 위험도
보통