HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.Agent.1338880
바이로봇 버전정보 : 2019-03-22.02     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2019-04-17 16:57:12

    ■ Trojan.Win32.Agent.1338880

       A. 감염 경로

           Trojan.Win32.Agent.1338880은 자체적인 전파 기능은 없으며, 해킹 당한 사이트에서 다운로드 되거나 다른 악
           성코드에 의해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.Agent.1338880은 실행 시 자가복제 및 추가 파일을 생성한다.
              %appdata%\{랜덤6자리}\{랜덤6자리}.exe (정상 RegSvcs.exe 파일)
              %appdata%\sdchange\wuauclt.exe (자가 복제)

           2) 작업 스케줄러에 등록되어 자동실행 되도록 한다.

[그림 1] 작업 스케줄러 등록


           3) 생성된 {랜덤6자리}.exe (정상 RegSvcs.exe 파일)을 이용하여 메모리에 로드 후 실제 악성 행위를 수행한다.

           4) C&C 서버로 감염 PC의 정보를 수집한다.

[그림 2] 감염PC 정보 수집


           5) 로드된 파일은 FTP, SMTP, 웹브라우저 등의 계정 정보를 탈취한다.

[그림 3] 계정 탈취 대상(웹) 일부


[그림 4] 계정 탈취 대상(메일) 일부


       C. 치료 방법

           바이로봇 2019-03-22.02 이상 버전으로 치료된다.

       D. 위험도

           보통

Top