* 전파 경로
자체 전파 기능은 없으며 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 악성코드(웜, 바이러스, 트로이목마)에서 설치하는 것으로 보인다.
* 실행 후 증상
RAT유형의 NanoCore 악성코드로 공격자는 플러그인을 기반으로 정보 탈취 기능을 사용한다.
계정 정보 수집 및 키로깅과 같이 다양한 정보 탈취, DDoS, 웹캠 제어를 한다.
[파일 생성]
- C:\Users\%user%\AppData\Roaming\PdVtvUi.exe
- C:\Users\%user%\AppData\Roaming\2A436123-51F4-43B3-9F6C-100AC8702D6A\NAT Service\natsv.exe
[프로세스 생성]
- cmd line: "schtasks.exe"
/create /f /tn "PCI Subsystem Task" /xml
"C:\Users\rapit\AppData\Local\Temp\tmpA8CD.tmp"
- cmd line: "schtasks.exe" /create /f /tn "PCI
Subsystem" /xml "C:\Users\rapit\AppData\Local\Temp\tmpA1CA.tmp"
- cmd line: C:\Users\rapit\AppData\Local\Temp\qchdbRUT.exe
[레지스트리 값 수정]
- 키: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PCI
Subsystem
- 값: C:\Program
Files\PCI Subsystem\pciss.exe
[C&C 서버 주소]
- cool.gotdns[.]ch:8152
[Zone Identifier 제거]
- cmd line: C:\Users\rapit\AppData\Local\Temp\qchdbRUT.exe:Zone.Identifier