■ Trojan.Win32.S.Agent.96256.MB
A. 감염 경로
Trojan.Win32.S.Agent.96256.MB는 이동식 디스크를 통한 자체적인 전파 기능이 있으며, 해킹 당한 사이트에
서 다운로드 되거나 다른 악성코드에 의해 설치될 수 있다.
B. 감염 증상
1) Trojan.Win32.S.Agent.96256.MB는 실행 시 다음과 같은 경로에 파일을 생성한다.
%AppData%\gnja.exe (자가 복제)
(이동식디스크)\MINUS\ona.exe (자가 복제)
2) 생성된 파일은 인터넷 익스플로러(Explorer.exe) 프로세스에 인젝션되어 동작하며 서버와 지속적으로 통신을 시도한다.
prcolina.prichaonica.com (106.187.41.154)
kreten.banjalucke-ljepotice.ru (192.42.119.41)
sombrero.balkan-hosting.net (185.82.212.100)
3) 레지스터에 등록되어 부팅 시 자동으로 실행된다.
키 : LKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
이름 : Taskman
값 : %AppData%\gnja.exe
4) 이동식 디스크가 연결될 경우 autorun 파일을 생성하여 연결 시 파일이 자동으로 실행되도록 한다.
[그림 1] Autorun.inf 5) 이동식 디스크를 통해 전파되는 웜 바이러스이다.
C. 치료 방법
바이로봇 2015-03-31.02 이상 버전으로 치료된다.
D. 위험도
보통