load.exe

테스트를 실시한 환경은
Windows XP SP2 Professional 입니다 .

load.exe 의 파일 정보

load.exe

File size: 26112 bytes
MD5...: 1ceed35235c14d6510e5cb5e6ed4319a

load.exe 의 바이러스토탈 검사 결과

검사 파일: load.exe 전송 시각: 2009.02.15 09:09:35 (CET)
안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.93	2009.02.15	Trojan-Dropper.Win32.Emold!IK
AhnLab-V3	5.0.0.2	2009.02.14	-
AntiVir	7.9.0.79	2009.02.13	-
Authentium	5.1.0.4	2009.02.14	-
Avast	4.8.1335.0	2009.02.14	-
AVG	8.0.0.237	2009.02.14	-
BitDefender	7.2	2009.02.15	-
CAT-QuickHeal	10.00	2009.02.13	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.02.15	-
Comodo	977	2009.02.14	-
DrWeb	4.44.0.09170	2009.02.15	Win32.HLLW.Autoruner.6163
eSafe	7.0.17.0	2009.02.12	Suspicious File
eTrust-Vet	31.6.6358	2009.02.14	-
F-Prot	4.4.4.56	2009.02.14	-
Fortinet	3.117.0.0	2009.02.14	-
GData	19	2009.02.15	-
Ikarus	T3.1.1.45.0	2009.02.15	Trojan-Dropper.Win32.Emold
K7AntiVirus	7.10.630	2009.02.14	-
Kaspersky	7.0.0.125	2009.02.15	-
McAfee	5526	2009.02.14	-
McAfee+Artemis	5526	2009.02.14	-
Microsoft	1.4306	2009.02.15	TrojanDropper:Win32/Emold.C
NOD32	3853	2009.02.14	-
Norman	6.00.02	2009.02.13	-
nProtect	2009.1.8.0	2009.02.15	-
Panda	10.0.0.10	2009.02.14	-
PCTools	4.4.2.0	2009.02.14	-
Rising	21.16.61.00	2009.02.15	-
SecureWeb-Gateway	6.7.6	2009.02.15	-
Sophos	4.38.0	2009.02.15	Mal/FakeVirPk-A
Sunbelt	3.2.1851.2	2009.02.12	-
Symantec	10	2009.02.15	-
TheHacker	6.3.2.1.257	2009.02.15	-
TrendMicro	8.700.0.1004	2009.02.14	-
VBA32	3.12.8.12	2009.02.15	-
ViRobot	2009.2.14.1607	2009.02.15	-
VirusBuster	4.5.11.0	2009.02.14	-

추가 정보
File size: 26112 bytes
MD5...: 1ceed35235c14d6510e5cb5e6ed4319a
SHA1..: cf2d27dfcd321640e564f09ec3394a18b35aab05

load.exe 가 시스템에 준 변화 사항

파일생성

C:\C\Program Files\Microsoft Common\svchost.exe

레지스트리 생성

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\Image File Execution Options\explorer.exe]
"Debugger"="C:\Program Files\Microsoft Common\svchost.exe"

생성된 svchost.exe의 파일 정보

svchost.exe(load.exe와 정보 같음)

File size: 26112 bytes
MD5...: 1ceed35235c14d6510e5cb5e6ed4319a

Note !
이 malware는 임시 인터넷 폴더에
아래 정보를 가진 .htm을 만들었다가 없앴다가 하면서
백그라운드로 iexplorer.exe를 실행시킨후
각 드라이브를 읽기 시도하는 것으로 사려됨 .

ld[1].htm

File size: 42 bytes
MD5...: 289e9f4269a65fc541e7af3efdbda07c

저작자표시 비영리 변경금지

'Malwares 분석' 카테고리의 다른 글

darwin.exe (0)	2009.02.23
1.exe (0)	2009.02.17
YahooDLL.dll (0)	2009.02.17
urko.exe (0)	2009.02.16
sunrise.exe (0)	2009.02.15
update.exe (0)	2009.02.15
load.exe (0)	2009.02.15
r.exe (2)	2009.02.14

글벌레의 블로그

load.exe

'Malwares 분석' 카테고리의 다른 글

댓글

티스토리툴바

load.exe

'Malwares 분석' 카테고리의 다른 글

관련글

댓글

티스토리툴바