바이로봇 버전정보 :
2006-12-01.00 활동 OS 플랫폼 :
MS Windows 감염시 위험도 :
- 등록일 :
- 2018-11-07 10:53:32
■ Spyware.Bagle.RootKit
A. 감염 경로
다른 악성코드(스파이웨어, 애드웨어, 드로퍼 등)에 의해 설치되거나 혹은 다른 프로그램의 제휴 프로그램으로 설치된다.
B. 감염 증상
1) 다음과 같은 경로에 파일을 생성한다.
(AppData)\drivers\winupgro.exe
(AppData)\drivers\srosa2.sys
(AppData)\drivers\wfsintwq.sys
(AppData)\hidires\m_hook.sys
(AppData)\(랜덤폴더명)\flec006.exe
(AppData)\hidires\m_hook.sys
(AppData)\hidires\m_hook.sys
(System)\wintems.exe
(System)\mdelk.exe
2) 생성된 파일은 윈도우 시스템 파일로 위장하고 있다.
3) 다음과 같은 경로에 레지스트리를 등록하여 서비스를 생성한다.
키 : HKLM\SYSTEM\CurrentControlSet\Services
값 : srosa
경로 : (AppData)\drivers\srosa2.sys
키 : HKLM\SYSTEM\ControlSet(001~003)\Services
값 : srosa
경로 : (AppData)\drivers\srosa2.sys
4) 안전모드가 실행되지 않도록 레지스트리를 삭제한다.
키 : HKLM\SYSTEM\ControlSet001\Control\SafeBoot
값 : (기본값)
경로: 값 설정 안됨
키 : HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network
값 : (기본값)
경로: 값 설정 안됨
5) 사용자의 개인정보나 뱅킹정보를 탈취하는 악성코드를 실행한다.
C. 치료 방법
바이로봇 2006-12-01.00 이상 버전으로 치료된다.
D. 위험도
보통