9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다.
(기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"
(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe"
아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다.
[그림-1] 언인스톨 방식의 변화
그 외의 AVAST 백신 언인스톨 및 Windows Defender, Microsoft Security Client 서비스 제거 등의 기능은 동일하며 내부에 포함하는 GandCrab은 v5.0으로 확인되었다. V3 Lite 제품에서는 이러한 변화된 언인스톨 행위에 대해 아래의 [그림-2]와 같이 차단하고 있다.
[그림-2] 언인스톨 행위에 대한 차단
'악성코드 정보' 카테고리의 다른 글
| 주의! GandCrab v5.0.2 국내 유포중 (2018.10.02) (0) | 2018.10.02 |
|---|---|
| WMIC를 이용한 V3 Lite 제거기능의 GandCrab v5.0.1 등장 (0) | 2018.10.01 |
| 주의! 갠드크랩 v5.0 국내 유포중 (2) | 2018.09.25 |
| 사용자 몰래 V3 Lite 언인스톨하는 GandCrab v4.3 (*.js) (1) | 2018.09.20 |
| Nullsoft 설치파일 형태로 유포중인 GandCrab v4.3 (1) | 2018.09.17 |
댓글