본문 바로가기
Malwares 분석

svhost.exe

by 글벌레 2009. 4. 10.
테스트실시환경
Windows XP SP2 Professional 입니다. 

svhost.exe의 파일 정보 및 바이러스토탈 검사 결과입니다.

검사 파일: svhost.exe 전송 시각: 2009.04.09 19:08:19 (CET)
안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.04.09 Trojan.Crypt!IK
AhnLab-V3 5.0.0.2 2009.04.09 -
AntiVir 7.9.0.138 2009.04.09 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.1 2009.04.09 -
Authentium 5.1.2.4 2009.04.08 -
Avast 4.8.1335.0 2009.04.09 Win32:Trojan-gen {Other}
AVG 8.5.0.285 2009.04.09 Downloader.Generic8.AFQV
BitDefender 7.2 2009.04.09 -
CAT-QuickHeal 10.00 2009.04.09 -
ClamAV 0.94.1 2009.04.09 -
Comodo 1107 2009.04.09 -
DrWeb 4.44.0.09170 2009.04.09 Trojan.DownLoader.35134
eSafe 7.0.17.0 2009.04.07 Suspicious File
eTrust-Vet 31.6.6447 2009.04.09 -
F-Prot 4.4.4.56 2009.04.08 -
F-Secure 8.0.14470.0 2009.04.09 Trojan-Downloader.Win32.Small.jnu
Fortinet 3.117.0.0 2009.04.09 -
GData 19 2009.04.09 Win32:Trojan-gen {Other}
Ikarus T3.1.1.49.0 2009.04.09 Trojan.Crypt
K7AntiVirus 7.10.698 2009.04.09 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.04.09 Trojan-Downloader.Win32.Small.jnu
McAfee 5578 2009.04.08 -
McAfee+Artemis 5578 2009.04.08 Generic!Artemis
McAfee-GW-Edition 6.7.6 2009.04.09 Trojan.Crypt.ZPACK.Gen
Microsoft 1.4502 2009.04.09 Trojan:Win32/Meredrop
NOD32 3997 2009.04.09 Win32/Agent.NGC
Norman 6.00.06 2009.04.09 -
nProtect 2009.1.8.0 2009.04.09 -
Panda 10.0.0.14 2009.04.09 -
PCTools 4.4.2.0 2009.04.08 -
Prevx1 V2 2009.04.09 High Risk Cloaked Malware
Rising 21.24.32.00 2009.04.09 -
Sophos 4.40.0 2009.04.09 Mal/EncPk-HJ
Sunbelt 3.2.1858.2 2009.04.09 -
Symantec 1.4.4.12 2009.04.09 Trojan Horse
TheHacker 6.3.4.0.305 2009.04.09 -
TrendMicro 8.700.0.1004 2009.04.09 TROJ_AGENT.AQKX
VBA32 3.12.10.2 2009.04.09 suspected of Malware-Cryptor.Win32.General.3
ViRobot 2009.4.7.1686 2009.04.09 Trojan.Win32.Downloader.32256.ET
VirusBuster 4.6.5.0 2009.04.09 -
 
추가 정보
File size: 32256 bytes
MD5...: 4512405ee2d08ff9df08b729831e4b01
SHA1..: 3c9bdb50a2164d8870eedf0eb0fb6aa6173a4369
ThreatExpert info: 링크가 더는 유효하지 않아 삭제 (2022년 12월 메모).


svhost.exe가 시스템에 준 변화 

 파일
svhost.exe는 실행 되면 소실됨.
WINDOWS\system32\mssrv32.exe 생성.
 레지스트리 값/키 생성 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AFD\Parameters]
"DisableRawSecurity"=dword:00000001                                      

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msupdate]

svhost.exe가 실행되면 svhost.exe는 사라지면서 %system%에 mssrv32.exe 를 생성하면서
svchost.exe가 특정 ip의 사이트로 접속하려는 신호를 끝없이 보내게 됩니다(아래 그림 참조).

주의 : 이때 접속을 시도하는 svchost.exe는 정상 시스템 파일입니다.

.

 

접속에 성공한다면 수없이 많은 악성코드들이 다운로드될 것으로 예상됩니다.

생성된 mssrv32.exe 의 파일 정보 입니다.

File size: 32256 bytes
MD5...: 4512405ee2d08ff9df08b729831e4b01
SHA1..: 3c9bdb50a2164d8870eedf0eb0fb6aa6173a4369

관련 글들 보기 .

2009/02/02 - [유용한 팁들] - 레지스트리 항목(.reg) 파일 사용법

(알려진 레지스트리 값으로 손쉽게 레지스트리 키/값 추가 및 삭제하기.)

2009/03/17 - [프로그램 리뷰] - HashMyFiles v1.43 - Calculate MD5/SHA1/CRC32

(손쉽게 파일정보 알아 보기)

저작자표시 비영리 변경금지 (새창열림)

'Malwares 분석' 카테고리의 다른 글

see.scr - MD5 : 01512107cdf5ed9654c69a0157ce52ec  (5) 2010.03.09
stat.exe - infostealer  (8) 2010.03.07
svchost.exe  (0) 2010.02.12
flash.exe  (1) 2009.06.27
itynfu.exe  (0) 2009.04.06
dr.exe  (1) 2009.03.19
setup.exe  (0) 2009.03.17
sm2l4jne.exe  (0) 2009.03.05

관련글

댓글

티스토리툴바