| 최근 발견 된 악성파일 감염 시 외부 서버로 접속을 시도하는 백도어 역할을 하며 연결이 되면 외부에서 원격 조정이 가능한 형태의 악성파일입니다. 해당 악성파일은 프린터 관련 프로세스인 sploosv.exe에 로드되어 외부로 접근을 시도하며, 추가로 plugin 폴더가 생성되어 특정 행위 시 해당 폴더에 플러그인이 설치가 됩니다. 토탈 바이러스 검사 결과 모든 백신에서 탐지가 되지 않는 것으로 보아 악성파일이 활개를 치지 않을까 추정됩니다. |
| 악성파일 정보 |
| 파일명 : common.conf 파일크기 : 25MB |
| 생성파일 정보 |
| C:\Program Files\common Files C:\Program Files\common Files\common.conf C:\Program Files\common Files\plugin C:\Program Files\common Files\plugin\plugin_FileExplorer_C.dll C:\Program Files\common Files\plugin\plugin_Process_C.dll C:\Program Files\common Files\plugin\plugin_Register_C.dll C:\Program Files\common Files\plugin\plugin_ScreenCapture_C.dll |
| 설치위치 정보 |
| C:\Program Files\common Files\ |
| 감염증상 |
| sploovs.exe 프로세스에 로드되어 주기적으로 외부로 접근을 시도하며, 연결이 되면 외부에서 원격조정이 가능한 상태가 됩니다. 또한 tcpmon.dll 파일을 감염시켜 프린터가 되지 않는 현상이 발생합니다. |
| 해결방법 |
| sploovs.exe 프로세스를 죽인 후 생성된 파일을 삭제 합니다. 또한 tcpmon.dll 파일을 원본파일과 교체한 후 프린터 드라이버를 재설치 하셔야 합니다. |
'할롬::컴터 > 악성코드분석' 카테고리의 다른 글
| [악성코드분석] 윈도우 시스템 파일을 위장한 악성코드 분석 (0) | 2012.04.13 |
|---|---|
| [악성코드분석] 드디어 Dehydrating a String 코드 샘플을 구하다. (0) | 2012.02.28 |
| [악성코드분석] 시스템 파일 변조를 통한 온라인 게임 계정유출 악성코드 (0) | 2012.01.02 |
| [악성코드분석] 검색도우미 :: Onbar (2) | 2011.12.05 |
| [악성코드분석] ws2help.dll 시스템파일 변조를 통한 계정유출 악성코드 (2011.11.19) (4) | 2011.11.23 |