1. Svchsot.exe 파일정보



해당 파일은 감염시 C:\Windows\System32\(Random 숫자 8자리)\Svchsot.exe에 위치해 있으며 프로세스 내에 상주합니다. 해당 파일의 경우 정상 프로세스인 svchost.exe와 유사한 이름을 가졌습니다. *_* 하지만 샘플을 우연히 입수한 거라 정확히 어디서 유포되었는지는 잘 모르겠습니다..;; 아마 유포지는 악성코드가 삽입된 사이트로 추정이 됩니다. 혹은 애드웨어 쪽에 삽입되었을 수도 있고요. 



2. Virustotal 토털 진단 결과(32 / 47)   자세한 결과 보기


Ahnlab V3 : Malware/Win32.Suspicious

BitDefender : Gen:Trojan.Heur.RP.ii0@aODvBcnb

ViRobot : Backdoor.Win32.S.Agent.140108



3. 해당 파일 PEiD v0.95 정보


해당 파일은 Themida로 패킹되어 있으며 본인이 컴퓨터 전공이 아닌 타 전공이다보니 실제로 악성코드 전문가처럼 리버싱은 못하다보니 결국 Themida 언패킹 툴 구해서 언패킹 시도했는데 안되네요.



4. 결론


Themida로 패킹된 걸 풀 수가 없으니 정보를 얻을 수가 없네요.ㅠㅠ 요약하자면 svchsot.exe는 악성코드이며 백신으로 진단/치료가 가능한 악성코드하고 프로세스 종료 후 경로대로 찾아들어가 그냥 삭제하셔도 됩니다.

Posted by Ec0nomist

댓글을 달아 주세요