[악성코드분석] 원격 조정가능한 악성파일

최근 발견 된 악성파일 감염 시 외부 서버로 접속을 시도하는 백도어 역할을 하며 연결이 되면 외부에서 원격 조정이 가능한 형태의 악성파일입니다. 해당 악성파일은 프린터 관련 프로세스인 sploosv.exe에 로드되어 외부로 접근을 시도하며, 추가로 plugin 폴더가 생성되어 특정 행위 시 해당 폴더에 플러그인이 설치가 됩니다. 토탈 바이러스 검사 결과 모든 백신에서 탐지가 되지 않는 것으로 보아 악성파일이 활개를 치지 않을까 추정됩니다.

악성파일 정보

파일명 : common.conf  파일크기 : 25MB

생성파일 정보

C:\Program Files\common Files  C:\Program Files\common Files\common.conf  C:\Program Files\common Files\plugin  C:\Program Files\common Files\plugin\plugin_FileExplorer_C.dll  C:\Program Files\common Files\plugin\plugin_Process_C.dll  C:\Program Files\common Files\plugin\plugin_Register_C.dll  C:\Program Files\common Files\plugin\plugin_ScreenCapture_C.dll

설치위치 정보

C:\Program Files\common Files\

감염증상

sploovs.exe 프로세스에 로드되어 주기적으로 외부로 접근을 시도하며, 연결이 되면 외부에서 원격조정이 가능한 상태가 됩니다. 또한 tcpmon.dll 파일을 감염시켜 프린터가 되지 않는 현상이 발생합니다.

해결방법

sploovs.exe 프로세스를 죽인 후 생성된 파일을 삭제 합니다. 또한 tcpmon.dll 파일을 원본파일과 교체한 후 프린터 드라이버를 재설치 하셔야 합니다.