HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.Z.Removewat
바이로봇 버전정보 : 2017-01-25.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:49:34

       ■ Trojan.Win32.Z.Removewat


          A. 감염 경로
                 Trojan.Win32.Z.Removewat은 자체적인 전파기능을 가지고 있지 않으며, 해킹 당한 사이트에서 다운로
                    드 되거나 다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치될 수 있다.


          B. 감염 증상

                 1) Windows 정품인증 제거 프로그램으로서 악성행위는 하지 않는 HackTool이다.

                 2) taskkill.exe로 explorer.exe를 종료시킨다.

                 3) 다음과 같은 경로에 파일을 생성한다.
                           C:\Windows\System32\npWatWeb.dll
                           C:\Windows\System32\WatWeb.dll
                           C:\Windows\System32\WatAdminSvc.exe
                           C:\Windows\System32\WatUX.exe
                           C:\Windows\System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTask
                           C:\Windows\System32\Tasks\Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline
                           C:\Windows\SysWOW64\Wat\npWatWeb.dll
                           C:\Windows\SysWOW64\Wat\WatWeb.dll
                           C:\Windows\Logs\DPX\setupact.log
                           C:\Windows\Logs\DPX\setuperr.log

                 4) C:\Windows\System32에서 파일들의 이름을 바꾼 후 새로 만든다.
                                         user32.dll       -> user32.dll.bak       -> user32.dll새로 생성
                                         slmgr.vbs       -> slmgr.vbs.removewat       -> slmgr.vbs새로 생성
                                         systemcpl.dll       -> systemcpl.dll.bak       -> systemcpl.dll새로 생성
                                         slwga.bak       -> slwga.dll.bak       -> slwga.dll새로 생성

                 5) C:\Windows\SysWOW64에서 파일들의 이름을 바꾼 후 새로 만든다.
                                         user32.dll       -> user32.dll.bak       -> user32.dll새로 생성
                                         slmgr.vbs       -> slmgr.vbs.removewat       -> slmgr.vbs새로 생성
                                         systemcpl.dll       -> systemcpl.dll.bak       -> systemcpl.dll새로 생성
                                         slwga.bak       -> slwga.dll.bak       -> slwga.dll새로 생성

                 6) 다음의 레지스트리를 새로 등록한다.
                                  키       : HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
                                  이름       : user32
                                  값       : C:\Windows\System32\user32.dll
                                  키       : HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
                                  이름       : user32
                                  값       : C:\Windows\SysWOW64\user32.dll


          C. 치료 방법
                 바이로봇 2017-01-25.01 이상 버전으로 치료된다.


          D. 위험도
                 낮음

Top