HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.ServStart.44032
바이로봇 버전정보 : 2010-06-05.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-11-07 10:53:24

    ■ Trojan.Win32.ServStart.44032

       A. 감염 경로

           Trojan.Win32.ServStart.44032는 자체적인 전파기능은 가지고 있지 않으며, 해킹 당한 사이트에서 다운로드
           되거나 패키지 프로그램에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.ServStart.44032는 정상 프로세스에 인젝션되어 동작한다.

           2) 정상적으로 실행 시 임시폴더에 파일을 생성하고 실행한다.
              생성 파일 : %temp%hr(랜덤값).tmp

[그림 1] 파일생성


           3) 생성된 파일은 시스템 폴더에 자가복제를 생성하고 서비스에 등록되어 부팅 시 자동으로 실행된다.
              자가복제 파일 : c:\Windows\System32\eigois.exe
              서비스명 : Nationalhco

           4) 다음과 같은 서버에 접속을 시도하지만 현재 도메인 주소가 존재하지 않아 추가적인 행위가 이루어지지 않는다.
              www.ody.cc

       C. 치료 방법

           바이로봇 2010-06-05.01 이상 버전으로 치료된다.

       D. 위험도

           보통

Top