728x90
1. 증상
윈도우 작업스케줄러에 악성코드가 삽입되어 주기적으로 실행
2. 원인&공격 방식 분석
악성코드 7에서 달라진점은 스케쥴러를 기존엔 새로 만들었었는데 윈도우에 원래 존재하는 스케쥴러를 수정해서 감염시키는 방식 + cmd.exe가 배치를 실행시키는 것이 아니라 rundll32를 이용하여 dll파일 내 함수를 호출하여 배치를 실행하도록 변경
악성 스케줄러를 기존에 윈도우에 존재하는 스케쥴러를 수정하여 사용 스크린샷
3. 해결방법
모든 작업스케줄러를 읽어와서 랜덤명의 DLL파일을 rundll32로 실행하는 것 추적 후 dll삭제
4. 기타
이 악성코드는 정확히는 우리를 공격했지만 실제론 윈도우도 공격하여 일반 유저들도 피해대상이라고 볼 수 있다
리소스를 많이 먹진 않지만 무한루프 돌면서 리소스 낭비에 시스템 스케쥴러까지 감염시켜 비정상적 동작을 유도하니 여기서 진짜 갈 때까지 갔구나 싶었다
728x90
'일기장 > 악성코드' 카테고리의 다른 글
| 악성코드 공격 -7 (작업스케줄러 + NirCmd.exe, conhost.exe) (2) | 2021.06.04 |
|---|---|
| 악성코드 공격 -6 (작업 스케줄러, VB스크립트+bat) (0) | 2021.05.31 |
| 악성코드 공격 -5 (비밀폴더 변형 + Registry Guard Service) (0) | 2021.05.26 |
| 악성코드 공격 -4 (oh!soft - 비밀폴더(hfFilter.sys) / 미니필터) (0) | 2021.05.25 |
| 악성코드 공격 -3 (인증서 차단 / 신뢰지 않은 게시자) (0) | 2021.05.20 |
