* 전파 경로
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른
악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
악성코드를 실행시키면 Lokibot 악성코드가
실행되어 웹 브라우저, 메일, FTP클라이언트, 메신저, Putty 등의 프로그램을 대상으로 정보를 유출한다. 또한 시스템에 상주하면서 키로깅 기능도 한다.
[파일 생성]
- C:\Users\%user%\AppData\Roaming\FBB03F\FBAB62.exe
- C:\Users\%user%\AppData\Roaming\JcOfdykaG.exe
[프로세스 생성]
- cmdline: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
Add-MpPreference -ExclusionPath
"C:\Users\%user%\AppData\Roaming\JcOfdykaG.exe"
- cmdline: "C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"
Add-MpPreference -ExclusionPath
"C:\Users\%user%\AppData\Local\Temp\TkeqAxwT.exe"
- cmdline: powershell
Add-MpPreference -ExclusionPath
"C:\Users\%user%\AppData\Roaming\JcOfdykaG.exe"
- cmdline: powershell Add-MpPreference
-ExclusionPath "C:\Users\%user%\AppData\Local\Temp\TkeqAxwT.exe"
- cmdline: schtasks.exe
/Create /TN "Updates\JcOfdykaG" /XML
"C:\Users\%user%\AppData\Local\Temp\tmpD87.tmp"
[C&C 서버 주소]
- hxxp://solumatic[.]com/Panel/five/fre.php
