반응형
| 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. |
svhost.exe의 파일 정보 및 바이러스토탈 검사 결과입니다.
| 검사 파일: svhost.exe 전송 시각: 2009.04.09 19:08:19 (CET) | |||
| 안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
| a-squared | 4.0.0.101 | 2009.04.09 | Trojan.Crypt!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.04.09 | - |
| AntiVir | 7.9.0.138 | 2009.04.09 | TR/Crypt.ZPACK.Gen |
| Antiy-AVL | 2.0.3.1 | 2009.04.09 | - |
| Authentium | 5.1.2.4 | 2009.04.08 | - |
| Avast | 4.8.1335.0 | 2009.04.09 | Win32:Trojan-gen {Other} |
| AVG | 8.5.0.285 | 2009.04.09 | Downloader.Generic8.AFQV |
| BitDefender | 7.2 | 2009.04.09 | - |
| CAT-QuickHeal | 10.00 | 2009.04.09 | - |
| ClamAV | 0.94.1 | 2009.04.09 | - |
| Comodo | 1107 | 2009.04.09 | - |
| DrWeb | 4.44.0.09170 | 2009.04.09 | Trojan.DownLoader.35134 |
| eSafe | 7.0.17.0 | 2009.04.07 | Suspicious File |
| eTrust-Vet | 31.6.6447 | 2009.04.09 | - |
| F-Prot | 4.4.4.56 | 2009.04.08 | - |
| F-Secure | 8.0.14470.0 | 2009.04.09 | Trojan-Downloader.Win32.Small.jnu |
| Fortinet | 3.117.0.0 | 2009.04.09 | - |
| GData | 19 | 2009.04.09 | Win32:Trojan-gen {Other} |
| Ikarus | T3.1.1.49.0 | 2009.04.09 | Trojan.Crypt |
| K7AntiVirus | 7.10.698 | 2009.04.09 | Trojan.Win32.Malware.1 |
| Kaspersky | 7.0.0.125 | 2009.04.09 | Trojan-Downloader.Win32.Small.jnu |
| McAfee | 5578 | 2009.04.08 | - |
| McAfee+Artemis | 5578 | 2009.04.08 | Generic!Artemis |
| McAfee-GW-Edition | 6.7.6 | 2009.04.09 | Trojan.Crypt.ZPACK.Gen |
| Microsoft | 1.4502 | 2009.04.09 | Trojan:Win32/Meredrop |
| NOD32 | 3997 | 2009.04.09 | Win32/Agent.NGC |
| Norman | 6.00.06 | 2009.04.09 | - |
| nProtect | 2009.1.8.0 | 2009.04.09 | - |
| Panda | 10.0.0.14 | 2009.04.09 | - |
| PCTools | 4.4.2.0 | 2009.04.08 | - |
| Prevx1 | V2 | 2009.04.09 | High Risk Cloaked Malware |
| Rising | 21.24.32.00 | 2009.04.09 | - |
| Sophos | 4.40.0 | 2009.04.09 | Mal/EncPk-HJ |
| Sunbelt | 3.2.1858.2 | 2009.04.09 | - |
| Symantec | 1.4.4.12 | 2009.04.09 | Trojan Horse |
| TheHacker | 6.3.4.0.305 | 2009.04.09 | - |
| TrendMicro | 8.700.0.1004 | 2009.04.09 | TROJ_AGENT.AQKX |
| VBA32 | 3.12.10.2 | 2009.04.09 | suspected of Malware-Cryptor.Win32.General.3 |
| ViRobot | 2009.4.7.1686 | 2009.04.09 | Trojan.Win32.Downloader.32256.ET |
| VirusBuster | 4.6.5.0 | 2009.04.09 | - |
| 추가 정보 | |||
| File size: 32256 bytes | |||
| MD5...: 4512405ee2d08ff9df08b729831e4b01 | |||
| SHA1..: 3c9bdb50a2164d8870eedf0eb0fb6aa6173a4369 | |||
| ThreatExpert info: 링크가 더는 유효하지 않아 삭제 (2022년 12월 메모). | |||
svhost.exe가 시스템에 준 변화
| 파일 |
| svhost.exe는 실행 되면 소실됨. WINDOWS\system32\mssrv32.exe 생성. |
| 레지스트리 값/키 생성 |
| [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AFD\Parameters] "DisableRawSecurity"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate] |
svhost.exe가 실행되면 svhost.exe는 사라지면서 %system%에 mssrv32.exe 를 생성하면서
svchost.exe가 특정 ip의 사이트들로 접속하려는 신호를 끝없이 보내게 됩니다(아래 그림 참조).
주의 : 이때 접속을 시도하는 svchost.exe는 정상 시스템 파일입니다.
.
접속에 성공한다면 수없이 많은 악성코드들이 다운로드될 것으로 예상됩니다.
생성된 mssrv32.exe 의 파일 정보 입니다.
| File size: 32256 bytes MD5...: 4512405ee2d08ff9df08b729831e4b01 SHA1..: 3c9bdb50a2164d8870eedf0eb0fb6aa6173a4369 |
관련 글들 보기 .
2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법
(알려진 레지스트리 값으로 손쉽게 레지스트리 키/값 추가 및 삭제하기.)
2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32
(손쉽게 파일정보 알아 보기)
반응형
'Malwares 분석' 카테고리의 다른 글
| see.scr - MD5 : 01512107cdf5ed9654c69a0157ce52ec (5) | 2010.03.09 |
|---|---|
| stat.exe - infostealer (8) | 2010.03.07 |
| svchost.exe (0) | 2010.02.12 |
| flash.exe (1) | 2009.06.27 |
| itynfu.exe (0) | 2009.04.06 |
| dr.exe (1) | 2009.03.19 |
| setup.exe (0) | 2009.03.17 |
| sm2l4jne.exe (0) | 2009.03.05 |
댓글