CN Cert는 최근 급속도로 유포되고 있는 异鬼II Bootkit 악성코드에 대해 경고를 하였습니다.
异鬼II Bootkit 라고 명명된 이 악성코드는, 중국 내 다운로드 프로그램들을 통하여 유포되고 있으며, XP, Win7, Win10 등 주요 OS에서 모두 동작이 가능합니다. 异鬼II Bootkit 악성코드는 정상적인 디지털 인증서를 갖고 있습니다.
해당 악성코드는 VBR을 수정하여 탐지를 어렵게 할 뿐만 아니라, 클라우드에서 기능 모듈을 내려받아 감염 PC에서 악성행위를 합니다.
감염 확인 방법
1) 내컴퓨터 하위에 .wav 파일이 존재하는지 확인합니다.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Media
C:\Users\사용자명\AppData\Local\Microsoft\Media
2) C:\windows\system32\usbsapi.dll 파일이 존재하는지 확인합니다.
3) 레지스트리에 다음 값이 있는지 확인합니다.
{FC70EFDD-2741-495C-9A93-42408F6878D9}\un
4) 레지스트리에 다음 값이 있으면 이미 감염된 것을 의미합니다.
HKEY_LOCAL_MACHINE\Software\Classes\CLSID{FC70EFDD-2741-495C-9A93-42408F6878D9}\ex 값:1
현재 알약에서는 해당 악성코드에 대하여 Trojan.Bootkit.yigui 로 탐지중에 있습니다.
출처 :
http://www.cert.org.cn/publish/main/9/2017/20170729122626519351207/20170729122626519351207_.html
해커들, Mandiant FireEye의 ‘유출’ 사건에서 얻은 데이터를 #OpLeakTheAnalyst 태그로 공개해 (0) | 2017.08.03 |
---|---|
뱅킹 악성코드 Svpeng, 키로깅 기능 추가 (0) | 2017.08.02 |
애플, 중국 앱스토어에서 VPN 앱들 제거해 (0) | 2017.08.01 |
구글 크롬, 더 이상 시만텍 SSL 인증서를 신뢰하지 않기로 결정 (2) | 2017.08.01 |
구글 전문가들, 새로운 타겟형 악성코드 패밀리인 Lipizzan 스파이웨어 차단해 (2) | 2017.07.31 |
댓글 영역