plugin_ScreenCapture_C.dll
최근 발견 된 악성파일 감염 시 외부 서버로 접속을 시도하는 백도어 역할을 하며 연결이 되면 외부에서 원격 조정이 가능한 형태의 악성파일입니다.
해당 악성파일은 프린터 관련 프로세스인 sploosv.exe에 로드되어 외부로 접근을 시도하며, 추가로 plugin 폴더가 생성되어 특정 행위 시 해당 폴더에 플러그인이 설치가 됩니다.
토탈 바이러스 검사 결과 모든 백신에서 탐지가 되지 않는 것으로 보아 악성파일이 활개를 치지 않을까 추정됩니다.
|
파일명 : common.conf
파일크기 : 25MB
|
C:\Program Files\common Files
C:\Program Files\common Files\common.conf
C:\Program Files\common Files\plugin
C:\Program Files\common Files\plugin\plugin_FileExplorer_C.dll
C:\Program Files\common Files\plugin\plugin_Process_C.dll
C:\Program Files\common Files\plugin\plugin_Register_C.dll
C:\Program Files\common Files\plugin\plugin_ScreenCapture_C.dll
|
C:\Program Files\common Files\
|
sploovs.exe 프로세스에 로드되어 주기적으로 외부로 접근을 시도하며, 연결이 되면 외부에서 원격조정이 가능한 상태가 됩니다. 또한 tcpmon.dll 파일을 감염시켜 프린터가 되지 않는 현상이 발생합니다.
|
sploovs.exe 프로세스를 죽인 후 생성된 파일을 삭제 합니다. 또한 tcpmon.dll 파일을 원본파일과 교체한 후 프린터 드라이버를 재설치 하셔야 합니다.
|