Win32.FlyStudio.Worm.1289331: Worm 바이러스 분석

Win32.FlyStudio.Worm.1289331 악성코드는 이동식 디스크를 통해 자신을 전파하며, 시스템 디렉토리 및 임시폴더에 자기 자신을 복사하며 특정 사이트에 접근을 시도합니다.

FlyStudio.Worm 악성코드 기본 정보

종류	Worm	위험도	낮음
감염경로	이동식 디스크	증상	시스템 설정 변경
플랫폼	Windows	크기	1,289,331byte
암호화 여부	비암호화	팩킹
MD5	2166A3F7687F8CE2A812F171891D3C45
SHA1	6C66D61BCE7A96FA12509047E0E7AB0298D7533C

VirusTotal 정보

Antivirus	Result
AhnLab-V3	-
AntiVir	TR/Drop.Agent.qsc
Antiy-AVL	-
Avast	Win32:AutoRun-BPV [Drp]
AVG	Citem_c.CLT
BitDefender	Worm.Generic.43288
ByteHero	-
CAT-QuickHeal	Win32.TrojanDropper.Silly_P2P.B.6
ClamAV	Trojan.Dropper-2514
Commtouch	W32/Nuj.A.gen!Eldorado
Comodo	ApplicUnsaf.Win32.HackTool.FlySky.AC
DrWeb	Trojan.DownLoad.28634
Emsisoft	Trojan-Spy.Win32.FlyStudio!IK
eSafe	Win32.TRDrop.Agent.Q
eTrust-Vet	Win32/Nuj.A
F-Prot	W32/Nuj.A.gen!Eldorado
F-Secure	Trojan-Downloader:W32/VB.BUE
Fortinet	W32/BDoor.DRV!tr
GData	Worm.Generic.43288
Ikarus	Trojan-Spy.Win32.FlyStudio
Jiangmin	TrojanDownloader.VB.adh
K7AntiVirus	Riskware
Kaspersky	Worm.Win32.FlyStudio.bf
McAfee	W32/Autorun.worm.dq
McAfee-GW-Edition	W32/Autorun.worm.dq
Microsoft	Worm:Win32/Nuj.A
NOD32	Win32/AutoRun.FlyStudio.AG
Norman	W32/Obfuscated.H!genr
nProtect	Worm.Generic.43288
Panda	W32/FlySky.AD
Rising	Worm.Win32.Autorun.eyr
Sophos	W32/AutoRun-MO
Symantec	W32.SillyFDC
TheHacker	Trojan/Downloader.FlyStudio.ho
TrendMicro	WORM_FLYSTUDI.IQ
TrendMicro-HouseCall	WORM_FLYSTUDI.IQ
VBA32	Trojan.HLLW.Erun.507
VIPRE	Trojan.Win32.Generic!BT
ViRobot	Worm.Win32.S.FlyStudio.1289331.B

FlyStudio.Worm 상세 동작

①실행하면 다음과 같은 경고창을 띄운다.

②다음 디렉토리에 다음 파일을 생성한다.
▶C:\Doc~1\User\Local Settings\Temp\E_4\krnln.fnr
▶C:\Doc~1\User\Local Settings\Temp\E_4\shell.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\eAPI.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\internet.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\spec.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\RegEx.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\dp1.fne
▶C:\Doc~1\User\Local Settings\Temp\E_4\com.run
▶C:\Windows\system32\XP-(랜덤8자).exe
▶C:\Windows\system32\RegEx.fne
▶C:\Windows\system32\com.run
▶C:\Windows\system32\dp1.fne
▶C:\Windows\system32\eAPI.fne
▶C:\Windows\system32\internet.fne
▶C:\Windows\system32\krnln.fnr
▶C:\Windows\system32\shell.fne
▶C:\Windows\system32\spec.fne
▶C:\Windows\system32\ul.dll
▶C:\Windows\system32\og.dll
▶C:\Windows\system32\og.edt

③이동식 디스크에 다음 파일을 생성한다.
▶\autorun.inf
▶\driver\usb\Desktop.ini
▶\driver\usb\setup.exe

④시작 프로그램에 빈 문자열의 파일명으로 자신을 등록한다.

⑤다음 도메인 네임을 질의 하고 접속을 시도한다.
▶http://www.microsoft.com
▶http://www.google.com
▶hi.baidu.com
▶http://www.baihe.googlepages.com
▶http://www.bloguser.googlepages.com
▶sites.google.com

'정보보호' 카테고리의 다른 글

순서 논리회로의 종류와 특징 (0)	2024.03.11
HTTP 에러 코드표 (0)	2024.03.11
LiME: 리눅스 및 안드로이드 메모리 획득 도구 (0)	2024.03.11
Win32.Trojan.Pearmor.416768: 트로이목마 악성코드 분석 (0)	2024.03.11
Win32/Backdoor.Worm.IRCBot.23552: 세부 코드 분석 내용 (0)	2024.03.11

공돌이의 정보보호&IT

Win32.FlyStudio.Worm.1289331: Worm 바이러스 분석

FlyStudio.Worm 악성코드 기본 정보

VirusTotal 정보

FlyStudio.Worm 상세 동작

'정보보호' 카테고리의 다른 글

티스토리툴바

Win32.FlyStudio.Worm.1289331: Worm 바이러스 분석

FlyStudio.Worm 악성코드 기본 정보

VirusTotal 정보

FlyStudio.Worm 상세 동작

'정보보호' 카테고리의 다른 글

관련글

티스토리툴바