1. Svchsot.exe 파일정보
해당 파일은 감염시 C:\Windows\System32\(Random 숫자 8자리)\Svchsot.exe에 위치해 있으며 프로세스 내에 상주합니다. 해당 파일의 경우 정상 프로세스인 svchost.exe와 유사한 이름을 가졌습니다. *_* 하지만 샘플을 우연히 입수한 거라 정확히 어디서 유포되었는지는 잘 모르겠습니다..;; 아마 유포지는 악성코드가 삽입된 사이트로 추정이 됩니다. 혹은 애드웨어 쪽에 삽입되었을 수도 있고요.
2. Virustotal 토털 진단 결과(32 / 47) 자세한 결과 보기
Ahnlab V3 : Malware/Win32.Suspicious
BitDefender : Gen:Trojan.Heur.RP.ii0@aODvBcnb
ViRobot : Backdoor.Win32.S.Agent.140108
3. 해당 파일 PEiD v0.95 정보
해당 파일은 Themida로 패킹되어 있으며 본인이 컴퓨터 전공이 아닌 타 전공이다보니 실제로 악성코드 전문가처럼 리버싱은 못하다보니 결국 Themida 언패킹 툴 구해서 언패킹 시도했는데 안되네요.
4. 결론
Themida로 패킹된 걸 풀 수가 없으니 정보를 얻을 수가 없네요.ㅠㅠ 요약하자면 svchsot.exe는 악성코드이며 백신으로 진단/치료가 가능한 악성코드하고 프로세스 종료 후 경로대로 찾아들어가 그냥 삭제하셔도 됩니다.
'국내 악성코드 정보' 카테고리의 다른 글
| Smart Guard Protection(스마트 가드 프로텍션) 치료 및 삭제.제거방법 (26) | 2014.01.12 |
|---|---|
| 유토렌트(Utorrent)와 유사한 악성코드 주의! (0) | 2014.01.08 |
| svchsot.exe 악성코드 간단 정보 (0) | 2014.01.07 |
| 백신무력화 및 온라인 게임 계정 탈취범 olesau32.dll 간단분석 및 치료방법 (0) | 2013.12.28 |
| wshtcpip.dll 간단 분석 및 치료방법(부제 : 백신, 익스플로러, 크롬, 파이어폭스 실행이 안될 때..) (1) | 2013.12.27 |
| 금융감독원 사칭한 파밍, 호스트 파일 변조 악성코드 간단 분석(hosts, hosts.ics) (11) | 2013.12.24 |
댓글을 달아 주세요