■ Backdoor.Win32.Agent.78765
A. 감염 경로
Backdoor.Win32.Agent.78765은 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트에서 다운로드 되거나 다
른 악성코드에 의해 설치될 수 있다.
B. 감염 증상
1) Backdoor.Win32.Agent.78765은 실행 시 뮤텍스를 생성하여 중복 실행을 방지한다.
[그림 1] Mutex 생성 2) 실행된 파일의 경로를 확인하여 기존 프로세스는 종료하고 해당 경로에 복사 후 재실행 되도록 한다.
C:\Program Files\Microsoft\WaterMark.exe (자가복제)
[그림 2] 프로세스 확인 3) svchost.exe 및 iexplore.exe 프로세스를 추가로 실행하고 해당 프로세스에 악성코드가 인젝션 되어 동작한다.
[그림 3] 프로세스 추가 실행 4) 시스템 시작 시 자동으로 실행되도록 레지스트리 등록을 한다.
키 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
이름 : Userinit
값 : C:\Program Files\Microsoft\WaterMark.exe
5) PC 내 파일들을 스캔하며 다른 파일들을 감염시킨다. PE파일의 경우 악성코드가 포함된 .text 섹션을 추가하고, HT
ML 파일의 경우 악성 스크립트를 추가한다.
감염된 PE 파일: Win32.Numnul.A
감염된 HTML 파일: VBS.Dropper.B
[그림 4] 추가 파일 감염 6) C&C서버와 지속적으로 통신을 하며 시스템 정보를 유출한다.
[그림 5] C&C 서버와의 통신 C. 치료 방법
바이로봇 2012-08-25.02 이상 버전으로 치료된다.
D. 위험도
보통