HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.412672.BQ
바이로봇 버전정보 : 2019-08-30.01     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2019-09-10 10:45:08

    ■ Trojan.Win32.S.Agent.412672.BQ

       A. 감염 경로

           Trojan.Win32.S.Agent.412672.BQ은 자체적인 전파 기능은 없으며, 이메일로 전파되거나 해킹당한 사이트의
           링크를 통해 설치될 수 있다.

       B. 감염 증상

           1) Trojan.Win32.S.Agent.412672.BQ은 정상 워드 문서 파일로 위장하여 사용자의 클릭을 유도한다.

[그림 1] 정상 아이콘 위장


           2) 다음 위치에 파일을 생성한다. 생성된 파일은 파일 포맷이 깨진 파일이다.
              C:\Windows\svchost.com

           3) 감염된 PC의 파일들을 스캔하는 도중 비정상 종료된다. 정상 실행시 Sodinokibi 랜섬웨어로 파일을 암호화 시킨다.

           4) 정상적인 Sodinokibi 랜섬웨어 동작을 할 경우 파일 암호화에 사용되는 키 관련 값을 레지스트리에 등록 후 암호화를
              위한 스캔시 주요 시스템 폴더 및 파일 특정 실행파일 확장자 등을 체크하여 암호화 대상에서 제외하고 나머지 파일을 암호화 한
              다. 파일 암호화 작업이 끝나면 원본파일명.{영문, 숫자 랜덤} 확장자로 변경하고 {영문, 숫자 랜덤}-readme.txt 랜
              섬노트(감염 안내) 파일을 생성한다. 모든 파일 암호화 작업이 끝나면 바탕화면을 랜섬노트 안내하는 화면으로 변경한다.

       C. 치료 방법

           바이로봇 2019-08-30.01 이상 버전으로 치료된다.

       D. 위험도

           높음

Top