윈도우 UserAssist 개요 및 분석

UserAssist

UserAssist에 대한 정보를 레지스트리에 별도로 보관

사용자가 실행한 프로그램에 대한 정보를 획득할 수 있음

사용자별 환경설정으로 NTUSER.DAT에 저장

실행된 프로그램 별로 실행 횟수와 마지막 실행된 시간등의 정보가 기록되어 있음

ROT 13으로 인코딩 되어있음

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

​

UserAssist 분석

분석방법 :

마지막 실행 시각이 부팅 시각과 유사한 프로그램을 확인

count가 1인 프로그램 중 의심되는 확장자 등을 가진 프로그램을 (Dropper일 가능성이 높음)확인

이동형 저장 매체에서 실행된 프로그램이 복사되어 실행된 흔적을 (USB를 통한 악성코드 감염 의심) 확인

 

출처 : blog.naver.com/dostjsdkalsd/222099849082