HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.564524
바이로봇 버전정보 : 2018-10-19.03     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-11-07 10:53:42

    ■ Trojan.Win32.S.Agent.564524

       A. 감염 경로

           Trojan.Win32.S.Agent.564524는 자체적인 전파 기능은 없으며, 해킹 당한 사이트에서 다운로드 되거나 다른
           악성코드에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.Agent.564524은 실행 시 특정 프로세스를 검색하고 실행 후 특정 로직에 의해 쉘코드가 복호화된다.
              프로세스명 : cmd.exe

[그림 1] 쉘코드 복호화


           2) 복호화된 쉘코드는 실행한 프로세스에 인젝션되어 동작한다.

[그림 2] 코드 인젝션


           3) 인젝션된 코드에 의해 또 복호화 과정을 거쳐 메모리에 파일을 로드한다.

[그림 3] 쉘코드 일부 복호화 과정


           4) 로드된 파일은 서버 명령에 따라 추가적인 악성행위를 할 수 있는 백도어 기능을 포함하고 있다.

       C. 치료 방법

           바이로봇 2018-10-19.03 이상 버전으로 치료된다.

       D. 위험도

           보통

Top