■ Trojan.Win32.C.Agent.449888
[그림 1] NewsFeedU.exe의 파일 정보 A. 감염 경로
Trojan.Win32.C.Agent.449888 는 해킹 당한 사이트에서 다운로드 되거나 패키지 프로그램에 의해 설치될 수 있다.
.
B. 감염 증상
1) 다음 경로에 자가복제 파일을 생성하고 특정 인자 값으로 실행시킨다.
%LocalAppdata%\updater_temp.exe /update (자가 복제)
2) 서버에 접속하여 파일을 다운로드 받고 실행한다.
https://www.toastpop.net/file/nfc/NewsFeed.exe
https://www.toastpop.net/file/nfc/NewsFeedU.exe (현재 실행 파일과 동일)
3) NewsFeed.exe 프로세스가 광고 팝업을 생성한다.
[그림 2] 생성된 광고 팝업 C. 치료 방법
바이로봇 2021-02-15.01 이상 버전으로 치료된다.
바이로봇 2021-04-27.01 버전에서 Adware.Agent.449888 진단명으로 변경 되었다.
D. 위험도
보통