| 테스트를 실시한 환경은 Windows XP SP2 Professional 입니다. |
dr.exe의 파일 정보 관련 글 보기 2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32 (파일 정보 보여 주는 프로그램) |
dr.exe의 바이러스 토탈 검사 결과
| 검사 파일: dr.exe 전송 시각: 2009.03.19 04:33:46 (CET) | |||
| 안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
| a-squared | 4.0.0.101 | 2009.03.19 | Trojan-Dropper.Win32.Ambler!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.03.19 | - |
| AntiVir | 7.9.0.120 | 2009.03.18 | TR/Banker.Banker.aflq |
| Authentium | 5.1.2.4 | 2009.03.18 | - |
| Avast | 4.8.1335.0 | 2009.03.18 | Win32:Spyware-gen |
| AVG | 8.5.0.283 | 2009.03.19 | PSW.Generic7.TP.dropper |
| BitDefender | 7.2 | 2009.03.19 | - |
| CAT-QuickHeal | 10.00 | 2009.03.19 | - |
| ClamAV | 0.94.1 | 2009.03.19 | - |
| Comodo | 1066 | 2009.03.18 | - |
| DrWeb | 4.44.0.09170 | 2009.03.19 | - |
| eSafe | 7.0.17.0 | 2009.03.18 | - |
| eTrust-Vet | 31.6.6388 | 2009.03.09 | - |
| F-Prot | 4.4.4.56 | 2009.03.18 | - |
| F-Secure | 8.0.14470.0 | 2009.03.19 | Trojan-Banker.Win32.Banker.aflq |
| Fortinet | 3.117.0.0 | 2009.03.19 | W32/Spy.BV!tr |
| GData | 19 | 2009.03.19 | Win32:Spyware-gen |
| Ikarus | T3.1.1.48.0 | 2009.03.19 | Trojan-Dropper.Win32.Ambler |
| K7AntiVirus | 7.10.674 | 2009.03.17 | Trojan.Win32.Malware.1 |
| Kaspersky | 7.0.0.125 | 2009.03.19 | Trojan-Banker.Win32.Banker.aflq |
| McAfee | 5557 | 2009.03.18 | - |
| McAfee+Artemis | 5557 | 2009.03.18 | Generic!Artemis |
| McAfee-GW-Edition | 6.7.6 | 2009.03.18 | Trojan.Banker.Banker.aflq |
| Microsoft | 1.4502 | 2009.03.18 | TrojanSpy:Win32/Ambler.D |
| NOD32 | 3947 | 2009.03.19 | Win32/Spy.Ambler |
| Norman | 6.00.06 | 2009.03.18 | W32/Malware.FZKP |
| nProtect | 2009.1.8.0 | 2009.03.19 | Trojan-Spy/W32.Banker.65024.C |
| Panda | 10.0.0.10 | 2009.03.18 | Trj/Downloader.MDW |
| PCTools | 4.4.2.0 | 2009.03.18 | - |
| Prevx1 | V2 | 2009.03.19 | Medium Risk Malware Dropper |
| Rising | 21.21.30.00 | 2009.03.19 | - |
| Sophos | 4.39.0 | 2009.03.18 | Troj/Spy-BV |
| Sunbelt | 3.2.1858.2 | 2009.03.19 | - |
| Symantec | 1.4.4.12 | 2009.03.19 | Trojan.Dropper |
| TheHacker | 6.3.3.0.284 | 2009.03.19 | - |
| TrendMicro | 8.700.0.1004 | 2009.03.18 | - |
| VBA32 | 3.12.10.1 | 2009.03.18 | - |
| ViRobot | 2009.3.19.1655 | 2009.03.19 | Spyware.Banker.65024 |
| VirusBuster | 4.6.5.0 | 2009.03.18 | - |
| 제 블로그의 관련 글 2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan |
|||
| 추가 정보 | |||
| File size: 65024 bytes | |||
| MD5...: a11e0e5389c93738d793e850c8aaa1c1 | |||
| SHA1..: fb87d25eb2ab42392009809a2369f42618d3ddd1 | |||
| ThreatExpert info: 링크가 더는 유효하지 않아 삭제 (2022년 11월 메모). | |||
dr.exe가 시스템에 준 변화 .
| 파일 생성 (dr.exe는 실행된 후 소멸됨.) |
| C:\WINDOWS\system32\kmsvc32.dll C:\WINDOWS\system32\wh |
| 레지스트리 생성 및 변화 |
| [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{684EE1DB-CD52-4ca9-9CCF-93D5F6B419BA}] [HKEY_LOCAL_MACHINE\SOFTWARE\Google]란 정상키 하위에 아래 값들 추가. "Add"="t?c~{}e<p~.=ds<pv~x|" "COD"=""l!/#RR&SU:TS"%:#tv.:.TTQ:.$S"Q!U#&.UVj"" "LN"=""@FX]HOGG"" "MJ1"="cw`" "MJ2"="cw`#" "MJ3"="cw`"" [HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{684EE1DB-CD52-4ca9-9CCF-93D5F6B419BA}] |
생성된 파일들 정보
wh의 파일 정보
kmsvc32.dll의 경우는 구글의 정상 파일처럼 위장하는데 회사는 마이크로소프트라고 뜸.
kmsvc32.dll의 바이러스토탈 검사 결과 및 파일 정보.
| 검사 파일: kmsvc32.dll 전송 시각: 2009.03.19 05:54:56 (CET) | |||
| 안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
| a-squared | 4.0.0.101 | 2009.03.19 | Trojan-PWS.Win32.Agent!IK |
| AhnLab-V3 | 5.0.0.2 | 2009.03.19 | - |
| AntiVir | 7.9.0.120 | 2009.03.18 | - |
| Authentium | 5.1.2.4 | 2009.03.18 | - |
| Avast | 4.8.1335.0 | 2009.03.18 | - |
| AVG | 8.5.0.283 | 2009.03.19 | PSW.Generic7.TP |
| BitDefender | 7.2 | 2009.03.19 | - |
| CAT-QuickHeal | 10.00 | 2009.03.19 | - |
| ClamAV | 0.94.1 | 2009.03.19 | - |
| Comodo | 1066 | 2009.03.18 | - |
| DrWeb | 4.44.0.09170 | 2009.03.19 | - |
| eSafe | 7.0.17.0 | 2009.03.18 | Suspicious File |
| eTrust-Vet | 31.6.6388 | 2009.03.09 | - |
| F-Prot | 4.4.4.56 | 2009.03.18 | - |
| F-Secure | 8.0.14470.0 | 2009.03.19 | Trojan-Downloader.Win32.BHO.juq |
| Fortinet | 3.117.0.0 | 2009.03.19 | W32/Spy.BU!tr |
| GData | 19 | 2009.03.19 | - |
| Ikarus | T3.1.1.48.0 | 2009.03.19 | Trojan-PWS.Win32.Agent |
| K7AntiVirus | 7.10.674 | 2009.03.17 | - |
| Kaspersky | 7.0.0.125 | 2009.03.19 | Trojan-Downloader.Win32.BHO.juq |
| McAfee | 5557 | 2009.03.18 | - |
| McAfee+Artemis | 5557 | 2009.03.18 | Generic!Artemis |
| McAfee-GW-Edition | 6.7.6 | 2009.03.18 | - |
| Microsoft | 1.4502 | 2009.03.18 | TrojanSpy:Win32/Ambler.F |
| NOD32 | 3947 | 2009.03.19 | a variant of Win32/Spy.Ambler.M |
| Norman | 6.00.06 | 2009.03.18 | W32/Smalldoor.DSTB |
| nProtect | 2009.1.8.0 | 2009.03.19 | Trojan/W32.Agent.41984.CF |
| Panda | 10.0.0.10 | 2009.03.18 | Trj/Downloader.MDW |
| PCTools | 4.4.2.0 | 2009.03.18 | - |
| Prevx1 | V2 | 2009.03.19 | Medium Risk Malware |
| Rising | 21.21.30.00 | 2009.03.19 | - |
| Sophos | 4.39.0 | 2009.03.19 | Troj/Spy-BU |
| Sunbelt | 3.2.1858.2 | 2009.03.19 | Infostealer.Limbo |
| Symantec | 1.4.4.12 | 2009.03.19 | Backdoor.Trojan |
| TheHacker | 6.3.3.0.284 | 2009.03.19 | - |
| TrendMicro | 8.700.0.1004 | 2009.03.19 | - |
| VBA32 | 3.12.10.1 | 2009.03.18 | - |
| ViRobot | 2009.3.19.1655 | 2009.03.19 | - |
| VirusBuster | 4.6.5.0 | 2009.03.18 | - |
| 추가 정보 | |||
| File size: 41984 bytes | |||
| MD5...: 05969943c7126640294ee02129aba985 | |||
| SHA1..: f262ea877235745e7759d3d76d273f88570ca14f | |||
| 관련 글들 보기 2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법 (레지스트리 손쉽게 추가/제거하기) 2009/02/04 - [유용한 팁들] - movefile 활용 (삭제 안되는 파일 삭제하기) |
'Malwares 분석' 카테고리의 다른 글
| svchost.exe (0) | 2010.02.12 |
|---|---|
| flash.exe (1) | 2009.06.27 |
| svhost.exe (0) | 2009.04.10 |
| itynfu.exe (0) | 2009.04.06 |
| setup.exe (0) | 2009.03.17 |
| sm2l4jne.exe (0) | 2009.03.05 |
| explorer.exe (0) | 2009.03.05 |
| ldr2.exe (0) | 2009.03.02 |
댓글