하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Win32.S.Agent.96256.MB
바이로봇 버전정보 : 2015-03-31.02     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2017-08-02 18:30:40

    ■ Trojan.Win32.S.Agent.96256.MB


       A. 감염 경로

           Trojan.Win32.S.Agent.96256.MB는 이동식 디스크를 통한 자체적인 전파 기능이 있으며, 해킹 당한 사이트에
           서 다운로드 되거나 다른 악성코드에 의해 설치될 수 있다.


       B. 감염 증상

           1) Trojan.Win32.S.Agent.96256.MB는 실행 시 다음과 같은 경로에 파일을 생성한다.
              %AppData%\gnja.exe                (자가 복제)
              (이동식디스크)\MINUS\ona.exe            (자가 복제)

           2) 생성된 파일은 인터넷 익스플로러(Explorer.exe) 프로세스에 인젝션되어 동작하며 서버와 지속적으로 통신을 시도한다.
              prcolina.prichaonica.com (106.187.41.154)
              kreten.banjalucke-ljepotice.ru (192.42.119.41)
              sombrero.balkan-hosting.net (185.82.212.100)

           3) 레지스터에 등록되어 부팅 시 자동으로 실행된다.
              키 : LKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon        
              이름 : Taskman
              값 : %AppData%\gnja.exe

           4) 이동식 디스크가 연결될 경우 autorun 파일을 생성하여 연결 시 파일이 자동으로 실행되도록 한다.

[그림 1] Autorun.inf


           5) 이동식 디스크를 통해 전파되는 웜 바이러스이다.


       C. 치료 방법

           바이로봇 2015-03-31.02 이상 버전으로 치료된다.


       D. 위험도

           보통

Top