* 전파 경로
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
윈도우에서 기본으로 동작하는 정상프로세스명으로 악성파일을 설치하여 피해PC를
완전히 제어하는 njRAT 악성코드이다.
수월한 악성행위를 위해 방화벽을 허용시키며 레지스트리 수정, 원격
명령 실행, 실행중인 서비스 제어, 특정 프로세스 종료 및
시작, 파일 시스템 접근 등의 동작을 수행한다.
[파일 생성]
- C:\Users\%user%\AppData\Local\Temp\svchost.exe
- C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\b7018cc8c6a8614f4c493216cfedb7e56.exe
[방화벽 설정]
- netsh firewall add allowedprogram
"C:\Users\%user%\AppData\Local\Temp\svchost.exe"
"svchost.exe" ENABLE
[레지스트리
값 등록]
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\b7018cc8c6a8614f4c493216cfedb7e56\
- 값: "C:\Users\%user%\AppData\Local\Temp\svchost.exe"
[C&C
server]
- gem.kro[.]kr:5553
