■ Trojan.Win32.S.Agent.564524
A. 감염 경로
Trojan.Win32.S.Agent.564524는 자체적인 전파 기능은 없으며, 해킹 당한 사이트에서 다운로드 되거나 다른
악성코드에 의해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.S.Agent.564524은 실행 시 특정 프로세스를 검색하고 실행 후 특정 로직에 의해 쉘코드가 복호화된다.
프로세스명 : cmd.exe
[그림 1] 쉘코드 복호화 2) 복호화된 쉘코드는 실행한 프로세스에 인젝션되어 동작한다.
[그림 2] 코드 인젝션 3) 인젝션된 코드에 의해 또 복호화 과정을 거쳐 메모리에 파일을 로드한다.
[그림 3] 쉘코드 일부 복호화 과정 4) 로드된 파일은 서버 명령에 따라 추가적인 악성행위를 할 수 있는 백도어 기능을 포함하고 있다.
C. 치료 방법
바이로봇 2018-10-19.03 이상 버전으로 치료된다.
D. 위험도
보통