악성코드 정보

ASEC이 분석한 악성코드, 유해가능 프로그램, 모바일 악성코드 정보

악성코드 Win-Trojan/MalPe34.Suspicious.X2029

  • 최초 입력시간2021-06-04 14:28 (GMT+9)
  • 최종 수정시간2021-06-04 14:36 (GMT+9)
위험도 상세내역
시스템 위험도 네트워크 위험도 확산 위험도 위험 등급
보통 보통 보통 3단계 주의

기본 정보

기본 정보 상세내역
종류
Trojan

스스로 복제하거나 감염 능력이 없는 악성코드로 이메일이나 웹사이트 등을 통해 유용한 프로그램인 것처럼 위장하며 사용자가 스스로 다운로드 받고 실행하게 하는 형태로 확산

운영체제
Windows
유입경로
Removable Media

이동식 저장장치를 통해 유입된 파일

공격기법
Injection

프로세스 인젝션 코드 존재

영향도
Unknown

확인불가 또는 가변적 기능

  • 증상 및 요약

    Win-Trojan/MalPe34.Suspicious.X2029는 코인 지갑 주소를 복사 시, 공격자의 코인 지갑 주소로 변경하는 기능을 가지며, USB를 이용하여 추가 감염을 일으킨다. 

     

  • 상세 정보

    * 실행 후 증상

    1. 레지스트리를 이용하여 Windows Defender 사용하지 않는 상태로 변경 및 해당 악성코드에 대하여 방화벽 허용한다.

    2. %UserProfile%\T-5060548008706965508605070\winsvc.exe로 악성코드 자가 복제를 한다.

    3. 자동 실행을 등록한다.

    4. 코인 지갑 주소 복사 및 붙여넣기 시 공격자의 코인 지갑 주소로 변경한다.

    5. USB를 연결 시 아래와 같은 행위를 일으킨다.

     - USB Root 폴더에 _폴더를 생성하여 숨김/시스템 파일 속성을 부여하여 사용자에게 보이지 않도록 함

     - USB에 담긴 모든 파일을 _라는 폴더로 이동

     - 악성코드 자기 자신을 _\DeviceManager.exe에 복사

     - USB Root에 레이블명으로 LNK파일을 만들고, 바로가기 명령을 이용하여 _\DeviceManager.exe를 실행 후 _ 폴더를 열어 사용자가 알지 못하도록 함 

    6. 컴퓨터 내 모든 파일(네트워크 드라이브 포함)에 대하여 아래와 같은 행위를 일으킨다.

     - RAR 파일 변조

      * 악성코드 자기 자신을 Microsoft Archive Manager.exe 파일명으로 삽입하나 정상적으로 삽입되지 않고 헤더가 깨짐

     - 경로 내에 아래와 같은 문자열이 들어있으며 EXE 파일인 경우, EXE 파일 삭제 후 해당 EXE 파일명으로 악성코드 자기 자신 복제

      * \public_html, \htdocs, \httpdocs, \wwwroot, \ftproot, \share, \income, \upload

    7. 추가 악성코드 다운로드 

이 정보에 대한 저작권은 AhnLab에 있으며 무단 사용 및 도용을 금합니다.

단, 개인이 비상업적인 목적으로 일부 내용을 사용하는 것은 허용하고 있으나, 이 경우 반드시 출처가 AhnLab임을 밝혀야 합니다.
기업이 이 정보를 사용할 때에는 반드시 AhnLab 의 허가를 받아야 하며, 허가 없이 정보를 이용할 경우 저작권 침해로 간주되어 법적인 제재를 받을 수 있습니다.
자세한 내용은 컨텐츠 이용약관을 참고하시기 바랍니다.

정보 이용 문의 : contents@ahnlab.com