악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Trojan/Win.Generic.C4586283

  • 최초 입력시간2021-08-11 14:06 (GMT+9)
  • 최종 수정시간2021-08-11 14:06 (GMT+9)
위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
보통 보통 보통 3단계 주의

기본 정보

기본 정보 상세내역
종류
Trojan

스스로 복제하거나 감염 능력이 없는 악성코드로 이메일이나 웹사이트 등을 통해 유용한 프로그램인 것처럼 위장하며 사용자가 스스로 다운로드 받고 실행하게 하는 형태로 확산

운영체제
Windows
유입경로
Download

웹 이외의 다른 악성코드 또는 공격자 의도에 의한 추가 다운로드

공격기법
Uncategorized

미분류

영향도
Information Leakage

사용자, 응용 프로그램, 시스템 정보 관련 유출

  • 증상 및 요약

    Trojan/Win.Generic.C4586283 은 사용자 정보를 유출하는 AgentTesla 인포스틸러 악성코드이다.

     

  • 상세 정보

    * 전파 경로

    자체 전파기능은 없으며 피싱 메일에 첨부된 파일을 다운로드하여 감염되는 것으로 보인다. 특히 송장, 선적 서류, 구매 주문서 등과 같은 내용으로 위장한 첨부파일(PPT)이 발견된 사례가 있다.

     

    * 실행 후 증상

    해당 프로세스를 재귀 실행한 후 특정 경로에 악성 파일을 설치한다. 이후 원격 서버와 통신하고, 추가 악성코드를 다운로드 받는다.

    또한 프로세스가 시스템에 상주하여 키로깅과 같은 악성 행위를 하며, PC 사용자의 정보를 탈취한다.

     

    [파일 생성]

    - C:\Users\%user%\AppData\Roaming\TFtFIyVTAKAFaC.exe

    - C:\Users\%user%\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2WQZ5Z5\XnUTepcXtPrqFlx[1].exe

    - C:\Users\%user%\AppData\Roaming\iox.atmjp.exe

    - C:\Users\%user%\AppData\Roaming\TCDaSKbCdJb.exe

    - C:\Users\%user%\AppData\Roaming\qtwKpmerp.exe

    - C:\Users\%user%\AppData\Roaming\kpfbAtosb.exe

     

    [프로세스 생성]

    cmd line : "C:\Windows\System32\schtasks.exe" /Create /TN "Updates\TFtFIyVTAKAFaC" /XML "C:\Users\%user%\AppData\Local\Temp\tmpDE69.tmp"

    cmd line : "C:\Users\%user%\AppData\Roaming\iox.atmjp.exe"

    cmd line : "C:\Users\%user%\AppData\Roaming\qtwKpmerp.exe"

     

    [C&C 서버 주소]

    - hxxps://cdn.discordapp[.]com

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.
자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com