현재 자바스크립트 형태(*.js)로 국내에 유포 중인 GandCrab v5.0.2 에서는 V3 제품 제거와 관련하여 행위 변화가 빠르게 진행되고 있다. 금일 확인된 형태에서는 "Uninst.exe -Uninstall"를 이용한 제거와 함께 "AhnUn000.tmp -UC"를 통한 방식 2가지를 함께 사용하고 있다.
[그림-1] V3Lite 언인스톨 관련코드 (GandCrab v5.0.2)
현재까지 확인된 V3 Lite 언인스톨 행위 대상 프로세스의 변화는 다음과 같다.
- wmic.exe -> cmd.exe -> runas.exe
[그림-1]에서의 2가지 방식 모두가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.
[그림-2] 언인스톨 행위관련 프로세스 구조
자사에서는 이러한 행위변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.
V3제품에서 파일기반의 진단은 다음과 같다.
- JS/GandCrab.S1
- JS/GandCrab.S2
- Trojan/Win32.Gandcrab
'악성코드 정보' 카테고리의 다른 글
| V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.3) (0) | 2018.10.12 |
|---|---|
| 주의! GandCrab v5.0.3 등장 (0) | 2018.10.11 |
| Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 (0) | 2018.10.05 |
| GandCrab도 한국을 타깃으로? (0) | 2018.10.03 |
| 주의! GandCrab v5.0.2 국내 유포중 (2018.10.02) (0) | 2018.10.02 |
댓글