악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Malware/Win.Reputation.C4397291

  • 최초 입력시간2021-03-30 12:17 (GMT+9)
  • 최종 수정시간2021-03-31 10:59 (GMT+9)
위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
보통 보통 보통 3단계 주의

기본 정보

기본 정보 상세내역
종류 운영체제 윈도우
유입경로 파일실행, 메일, 다운로드 공격기법 실행파일
영향도
  • 증상 및 요약

    Malware/Win.Reputation.C4397291는 공격자가 피해PC내의 정보를
    탈취하는 악성코드이다

     

  • 상세 정보

    전파 경로

    자체 전파 기능은 없으며 사용자가 메일메신저게시판자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(바이러스트로이목마)에서 설치하는 것으로 보인다.

     

    실행 후 증상

    RAT유형의 NanoCore 악성코드로 공격자는 플러그인을 기반으로 정보 탈취 기능을 사용한다.

    계정 정보 수집 및 키로깅과 같이 다양한 정보 탈취, DDoS, 웹캠 제어를 한다.

     

    [파일 생성]

    C:\Users\%user%\AppData\Roaming\PdVtvUi.exe

    C:\Users\%user%\AppData\Roaming\2A436123-51F4-43B3-9F6C-100AC8702D6A\NAT Service\natsv.exe

     

    [프로세스 생성]

    - cmd line: "schtasks.exe"
    /create /f /tn "PCI Subsystem Task" /xml
    "C:\Users\rapit\AppData\Local\Temp\tmpA8CD.tmp"

    - cmd line: "schtasks.exe" /create /f /tn "PCI
    Subsystem" /xml "C:\Users\rapit\AppData\Local\Temp\tmpA1CA.tmp"

    - cmd line: C:\Users\rapit\AppData\Local\Temp\qchdbRUT.exe

     

    [레지스트리 값 수정]

    ​​- : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PCI
    Subsystem

    - : C:\Program
    Files\PCI Subsystem\pciss.exe

     

    [C&C 서버 주소]

    ​​- cool.gotdns[.]ch:8152 

     

    [Zone Identifier 제거]

    ​​- cmd line: C:\Users\rapit\AppData\Local\Temp\qchdbRUT.exe:Zone.Identifier 

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.
자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com