악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Trojan/Win32.Nitol.C1690892

  • 최초 입력시간2021-03-29 15:07 (GMT+9)
  • 최종 수정시간2021-03-29 15:07 (GMT+9)
위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
보통 보통 보통 3단계 주의

기본 정보

기본 정보 상세내역
종류 운영체제 윈도우
유입경로 파일실행, 메일, 다운로드 공격기법 실행파일
영향도 시스템 관련, 보안상 위험, 사용자 정보 유출
  • 증상 및 요약

    Trojan/Win32.Nitol.C1690892 ​​은 공격자가 피해PC를 원격 제어 할 수 있는 RAT 악성코드이다.

     

  • 상세 정보

    전파 경로

    자체 전파 기능은 없으며 사용자가 메일메신저게시판자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(바이러스트로이목마)에서 설치하는 것으로 보인다.

     

    실행 후 증상

    윈도우에서 기본으로 동작하는 정상프로세스명으로 악성파일을 설치하여 피해PC
    완전히 제어하는 njRAT 악성코드이다

    수월한 악성행위를 위해 방화벽을 허용시키며 레지스트리 수정, 원격
    명령 실행, 실행중인 서비스 제어, 특정 프로세스 종료 및
    시작, 파일 시스템 접근 등의 동작을 수행한다

     

    [파일 생성]

    - C:\Users\%user%\AppData\Roaming\taskmgr.exe

    - C:\Users\%user%\AppData\Roaming\notepad.exe

     

    [프로세스
    생성]

    -cmdline: cmd.exe /C REG ADD
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run /V notepad.exe /T REG_SZ /D
    C:\Users\%user%\AppData\Local\notepad.exe

    -cmdline: "C:\Windows\System32\cmd.exe" /C REG
    ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Run /V notepad.exe /T REG_SZ
    /D C:\Users\%user%\AppData\Local\notepad.exe

     

    [방화벽 설정]

    - netsh firewall add allowedprogram
    "C:\Users\%user%\AppData\Roaming\taskmgr.exe" "taskmgr.exe"
    ENABLE

     

    [레지스트리
    값 등록]

    - : HKEY_CURRENT_USER\Environment\SEE_MASK_NOZONECHECKS

    - : 1

    - : HKEY_CURRENT_USRE\Software\Microsoft\Windows\CurrentVersion\Run\notepad.exe

    - : C:\Users\%user%\AppData\Local\notepad.exe

     

    [C&C
    server]

    - crizzybee.ddns[.]net:8888 

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.
자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com