HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.CoinMiner.1033460
바이로봇 버전정보 : 2018-08-23.02     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:49:40

    ■ Trojan.Win32.S.CoinMiner.1033460

       A. 감염 경로

           Trojan.Win32.S.CoinMiner.1033460는 해킹 당한 사이트에서 다운로드 되거나 패키지 프로그램에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.CoinMiner.1033460는 폴더 모양 아이콘으로 위장하여 사용자들의 클릭을 유도한다.

           2) 해당 악성코드는 실행 압축 파일이며 감염 시 다음과 같은 경로에 파일을 생성한다.
              %Appdata%\Temps\DOC001.exe        //Trojan.Win32.S.CoinMiner.1033460
              %Appdata%\Temps\NsCpuCNMiner32.exe //Trojan.Win32.S.CoinMiner.1139200.A
              %Appdata%\Temps\NsCpuCNMiner64.exe    //Trojan.Win64.S.CoinMiner.966144
              %TEMP%\nsn668.tmp\inetc.dll

           3) 시스템 부팅 시 자동 실행되도록 레지스트리 등록 및 시작 프로그램에 등록한다.
              키 : HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

              값 : %Appdata%\dhelper.exe

              키 : %Appdata%\Microsoft\Windows\Start Menu\Programs\Startup
              이름 : explorer.lnk
              값 : %Appdata%\Temps\DOC001.exe

           4) 특정 네트워크로 접속하여 파일 다운로드를 시도한다.
              kris.ru (195.208.1.107)
              zcop.ru (89.111.178.201)
              2no.co (88.99.66.31)
              649183ca17.pw (195.208.1.107)
              8a66446ab5.pw (119.207.66.184)
              ioad.pw (184.168.221.36)
              xmr-eu1.nanopool.org (51.15.54.102)

           5) 다음과 같은 경로에 파일을 다운로드 받는다.
              %TEMP%\java.exe        //Trojan.Win32.S.CoinMiner.2135466
              %TEMP%\java12.exe    //Trojan.Win32.S.Agent.204800.BTM
              %TEMP%\Javatemp\ini.jwd
              %TEMP%\Javatemp\jar2.exe    //Trojan.Win32.S.CoinMiner.39222
              %TEMP%\Javatemp\jare.7z1
              %TEMP%\Javatemp\temps.7z1
              %Appdata%\dhelper.exe        //Trojan.Win32.S.Agent.2179584
              %Programdata%\{84540516-8454-8454-845405169750}\lsm.exe //Trojan.Win32.S.Agent.204800.BTM
              %Appdata%\Adobe\x86\86x.exe (숨김속성)    //Trojan.Win32.S.CoinMiner.525090
              %Appdata%\Adobe\x86\runx.bat (숨김속성)    //BAT.S.Agent.304
              %Appdata%\Adobe\x64\config.json
              %Appdata%\Adobe\x64\dether.exe    //Trojan.Win64.S.CoinMiner.966144

           6) 다음과 같은 서버와 통신을 시도하고 특정한 명령을 통해 사용자 몰래 코인을 채굴한다.
              xmr-eu2.nanopool.org (55.255.34.80)

[그림 1] 채굴 명령어


           7) 사용자의 컴퓨터 리소스를 소모하여 가상화폐 코인 채굴기능을 수행하는 악성코드이다.

[그림 2] CPU 소모량


       C. 치료 방법

           바이로봇 2018-08-23.02 이상 버전으로 치료된다.

       D. 위험도

           보통

Top