9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다.


(기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"

(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe"


아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다.


[그림-1] 언인스톨 방식의 변화


그 외의 AVAST 백신 언인스톨 및 Windows Defender, Microsoft Security Client 서비스 제거 등의 기능은 동일하며 내부에 포함하는 GandCrab은 v5.0으로 확인되었다. V3 Lite 제품에서는 이러한 변화된 언인스톨 행위에 대해 아래의 [그림-2]와 같이 차단하고 있다.

[그림-2] 언인스톨 행위에 대한 차단


Posted by 분석팀