HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Spyware.Bagle.RootKit
바이로봇 버전정보 : 2006-12-01.00     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-11-07 10:53:32

       ■ Spyware.Bagle.RootKit


          A. 감염 경로
                 다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치되거나 혹은 다른 프로그램의 제휴 프로그램으로 설치된다.


          B. 감염 증상

                 1) 다음과 같은 경로에 파일을 생성한다.
                           (AppData)\drivers\winupgro.exe
                           (AppData)\drivers\srosa2.sys
                                         (AppData)\drivers\wfsintwq.sys
                                  (AppData)\hidires\m_hook.sys
                                  (AppData)\(랜덤폴더명)\flec006.exe
                                  (AppData)\hidires\m_hook.sys
                                  (AppData)\hidires\m_hook.sys
                                  (System)\wintems.exe
                                  (System)\mdelk.exe

                 2) 생성된 파일은 윈도우 시스템 파일로 위장하고 있다.

                 3) 다음과 같은 경로에 레지스트리를 등록하여 서비스를 생성한다.
                                  키 : HKLM\SYSTEM\CurrentControlSet\Services
                                  값 : srosa
                                  경로 : (AppData)\drivers\srosa2.sys
                                  키 : HKLM\SYSTEM\ControlSet(001~003)\Services
                                  값 : srosa
                                  경로 : (AppData)\drivers\srosa2.sys

                 4) 안전모드가 실행되지 않도록 레지스트리를 삭제한다.
                                  키 : HKLM\SYSTEM\ControlSet001\Control\SafeBoot
                                  값 : (기본값)
                                  경로: 값 설정 안됨
                                  키 : HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network
                                  값 : (기본값)
                                  경로: 값 설정 안됨

                 5) 사용자의 개인정보나 뱅킹정보를 탈취하는 악성코드를 실행한다.


          C. 치료 방법
                 바이로봇 2006-12-01.00 이상 버전으로 치료된다.


          D. 위험도
                 보통

Top