상세 컨텐츠

본문 제목

CN Cert, 异鬼II Bootkit 주의!

국내외 보안동향

by 알약(Alyac) 2017. 8. 2. 11:19

본문

CN Cert는 최근 급속도로 유포되고 있는 异鬼II Bootkit 악성코드에 대해 경고를 하였습니다. 


异鬼II Bootkit 라고 명명된 이 악성코드는, 중국 내 다운로드 프로그램들을 통하여 유포되고 있으며, XP, Win7, Win10 등 주요 OS에서 모두 동작이 가능합니다. 异鬼II Bootkit 악성코드는 정상적인 디지털 인증서를 갖고 있습니다. 


해당 악성코드는 VBR을 수정하여 탐지를 어렵게 할 뿐만 아니라, 클라우드에서 기능 모듈을 내려받아 감염 PC에서 악성행위를 합니다. 



감염 확인 방법


1) 내컴퓨터 하위에 .wav 파일이 존재하는지 확인합니다.

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media

C:\Users\사용자명\AppData\Local\Microsoft\Media


2) C:\windows\system32\usbsapi.dll 파일이 존재하는지 확인합니다


3) 레지스트리에 다음 값이 있는지 확인합니다

{FC70EFDD-2741-495C-9A93-42408F6878D9}\un


4) 레지스트리에 다음 값이 있으면 이미 감염된 것을 의미합니다. 

HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 값:1



현재 알약에서는 해당 악성코드에 대하여 Trojan.Bootkit.yigui 로 탐지중에 있습니다. 








출처 : 

http://www.cert.org.cn/publish/main/9/2017/20170729122626519351207/20170729122626519351207_.html

관련글 더보기

댓글 영역