바이로봇 버전정보 :
2018-09-18.01 활동 OS 플랫폼 :
MS Windows 감염시 위험도 :
- 등록일 :
- 2020-03-16 09:49:43
■ BAT.S.Agent.17446
A. 감염 경로
사용자가 인터넷에서 설치 혹은 패키지 파일에 의해 설치될 수 있다.
B. 감염 증상
1) Windows 운영체제를 불법적으로 정품 인증하는 배치파일이다.
2) 실행 시 Explorer.exe프로세스를 종료하고, 윈도우즈 인증폴더에 접근 및 권한을 수정한다.
(%systemdrive%)\Windows Activation Technologies\data
3) 다음과 같은 시스템 파일의 권한 및 파일명을 수정한뒤 미리 준비된 인증파일로 교체한다.
(%Windir%)\System32\slwga.dll
(%Windir%)\System32\sppwmi.dll
(%Windir%)\System32\systemcpl.dll
(%Windir%)\System32\user32.dll
(%Windir%)\System32\winlogon.exe
(%Windir%)\System32\winver.exe
4) 준비된 인증 파일이 없다면, 기존 시스템 파일명으로 다시 변경한다.
5) 인증 작업이 끝나면 시스템이 재부팅된다.
6) 인증에 사용되는 파일에 악성코드가 삽입되어 있을 수 있어 추가적인 악성행위에 노출 될 수 있다.
C. 치료 방법
바이로봇 2018-09-18.01 이상 버전으로 치료된다.
D. 위험도
낮음