* 전파 경로
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
윈도우에서 기본으로 동작하는 정상프로세스명으로 악성파일을 설치하여 피해PC를
완전히 제어하는 njRAT 악성코드이다.
수월한 악성행위를 위해 방화벽을 허용시키며 레지스트리 수정, 원격
명령 실행, 실행중인 서비스 제어, 특정 프로세스 종료 및
시작, 파일 시스템 접근 등의 동작을 수행한다.
[파일 생성]
- C:\Users\%user%\AppData\Local\Temp\6f785afc-cab4-44ce-a79b-d739e92d21c6\test.bat
- C:\Users\%user%\AppData\Local\Temp\6f785afc-cab4-44ce-a79b-d739e92d21c6\AdvanceRun.exe
[방화벽 설정]
- netsh firewall add allowedprogram
"C:\Users\%user%\Desktop\2.exe" "2.exe" ENABLE
[프로세스 생성]
- cmdline: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
Add-MpPreference -ExclusionPath
"C:\Users\%user%\AppData\Local\Temp\uHodpFPf.exe" –Force
- cmdline: cmd.exe /c
ping 0 -n 2 & del "C:\Users\%user%\AppData\Local\Temp\uHodpFPf.exe"
- cmdline: powershell Add-MpPreference -ExclusionPath
"C:\Users\%user%\AppData\Local\Temp\uHodpFPf.exe" –Force
- cmdline: "C:\Windows\System32\cmd.exe"
/c timeout 1
[C&C
server]
- monobrayan2.duckdns[.]org:2005
