■ Backdoor.Win32.Agent.78765

       A. 감염 경로

           Backdoor.Win32.Agent.78765은 자체적인 전파기능을 가지고 있으며, 해킹 당한 사이트에서 다운로드 되거나 다
           른 악성코드에 의해 설치될 수 있다.

       B. 감염 증상

           1) Backdoor.Win32.Agent.78765은 실행 시 뮤텍스를 생성하여 중복 실행을 방지한다.

[그림 1] Mutex 생성

           2) 실행된 파일의 경로를 확인하여 기존 프로세스는 종료하고 해당 경로에 복사 후 재실행 되도록 한다.
              C:\Program Files\Microsoft\WaterMark.exe (자가복제)

[그림 2] 프로세스 확인

           3) svchost.exe 및 iexplore.exe 프로세스를 추가로 실행하고 해당 프로세스에 악성코드가 인젝션 되어 동작한다.

[그림 3] 프로세스 추가 실행

           4) 시스템 시작 시 자동으로 실행되도록 레지스트리 등록을 한다.
              키 : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
               이름 : Userinit
               값 : C:\Program Files\Microsoft\WaterMark.exe

           5) PC 내 파일들을 스캔하며 다른 파일들을 감염시킨다. PE파일의 경우 악성코드가 포함된 .text 섹션을 추가하고, HT
              ML 파일의 경우 악성 스크립트를 추가한다.

              감염된 PE 파일: Win32.Numnul.A
              감염된 HTML 파일: VBS.Dropper.B

[그림 4] 추가 파일 감염

           6) C&C서버와 지속적으로 통신을 하며 시스템 정보를 유출한다.

[그림 5] C&C 서버와의 통신

       C. 치료 방법

           바이로봇 2012-08-25.02 이상 버전으로 치료된다.

       D. 위험도

           보통