배경

샘플로 얻은 파일을 vm에서 실행 감염시킴

증상

감염과 동시에 배경화면이 사라짐

시큐리티 툴 프로그램이 실행됨

작업관리자, 레지스트리 편집기등 실행 안 됨(exe 파일을 전체적으로 막음)

[바탕화면 보기 버튼] 실행 시 바탕화면은 나옴

바탕화면을 전체적으로 막고 있기에 안전모드 실행

안전모드 실행 후 확인결과

전에 확인했던 파일 발견안됨

전에 확인 했던 파일을 근거로 감염 시 나타는 파일 및 레지스트리

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run안에

69254531(랜덤) 키값생성(vm웨어 감염시 )

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run안에

sniffer 키값생성

C:\Documents and Settings\All Users\Application Data\69254531(랜덤)\ 69254531.exe(랜덤)파일 생성

C:\WINDOWS\Temp 안에 _ex-08.exe 파일생성

키값 및 파일 삭제 후 정상작동