현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다.
[그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3)
기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다.
[그림-1]의 코드가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.
[그림-2] 언인스톨 행위 관련 프로세스 구조
자사에서는 이러한 행위 변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.
[그림-3] 행위 탐지
V3 제품에서 파일 기반의 진단은 다음과 같다.
- JS/GandCrab.S1
- JS/GandCrab.S2
- Win-Trojan/Gandcrab09.Exp
'악성코드 정보' 카테고리의 다른 글
| SEON 랜섬웨어 주의 (Fileless 형태) (0) | 2018.11.16 |
|---|---|
| [주의] 복구 불가능한 GandCrab v5.0.4 국내 유포 중 (0) | 2018.10.29 |
| 주의! GandCrab v5.0.3 등장 (0) | 2018.10.11 |
| V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0.2) (0) | 2018.10.10 |
| Windows 방화벽 등록으로 백신 업데이트 방해 악성코드 (0) | 2018.10.05 |
댓글