2011. 12. 30. 16:51
728x90
scvhost 는 svchost 파일명과 유사한 악성코드로 오늘 리버싱 스터디를 같이 진행하면서 알게된 정보를 아주 간략하게 글로 쓰겠다
해당 파일은
1. 안티바이러스 기능
- 백신의 레지스트리 및 드라이버 파일로 생성된 안티백신으로 해당 백신의 기능을 죽여버린다.
- 또한 IE를 통한 인터넷 창에서 검색시 해당 스트링이 제목표시줄(?)에 뜨게되면 IE를 종료시켜 버린다.
2. 게임 탈취
- 게임계정이 등록되어 게임 계정을 탈취
3. 자기보호
- 자기보호를 하여 삭제 및 권한자체를 없애버려 파일의 삭제를 막아버린다.
- Taskmanger의 호출을 막아 작업관리자 창이 뜨지 못하게 한다.
4. 파일이름이 바뀌엇다면 자기를 복사하여 scvhost로 생성한다.
(먼저 windows 밑에 랜덤한 숫자폴더 및에 해당 파일이 존재하며 이를 찾기 어려울시 cmd에서 regedit으로 run부분을 찾으면 해당경로의 파일이 자동실행되도록 하게 되어있는것을 확인 할 수 있다. gmer로 강제 삭제해주면된다. 뿐만아니라 스케줄러 쪽에도 해당 파일이 스케줄러에 써져있다. 제어판에서 확인가능하다.)
5. 특정 주소에서 다른 악성코드를 downloader 한다.
이 파일을 삭제하는것은 쥐머 나 아이스스워드, xcure(?맞나?ㅋㅋ) 를 이용해 루트킷 제거파일로 force delete 기능으로 삭제한다.
728x90
'분석 > 악성파일 분석' 카테고리의 다른 글
| 해외 악성파일 (0) | 2012.02.03 |
|---|---|
| Acad.vlx 바이러스 정리 (0) | 2012.01.27 |
| 해외 ddos bot 업데이트 (0) | 2011.12.15 |
| 유명 연예인 동영상 악성코드 배포 (0) | 2011.12.08 |
| XUETR 0.44 버젼 (0) | 2011.11.15 |