프로세스 생성
system -> autochl -> newdev
파일 생성
c:\Windows\system32\autochl.exe
c:\Windows\system32\sserver.exe
c:\Windows\system32\config\system.exe
c:\Windows\system32\config\system.sav
c:\Windows\Temp\newdev.exe
c:\Windows\system32\lap.exe
c:\Windows\system32\dllcache\log.exe
이동식:\autorun.inf
이동식:\Goback.exe
레지
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAuthoRun 145
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue 0
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell explorer.exe c:windows\system32\sserver.exe
system.exe == autochl.exe == sserver.exe == system.sav == lap.exe == log.exe
반응형
'기타 > DMZ' 카테고리의 다른 글
| 윈도우 설치 관련 로그 저장 위치 (2) | 2012.04.27 |
|---|---|
| 2012.03.20 JS 악성코드 분석 메모 (0) | 2012.03.20 |
| 2011.10.07 KITRI 메모 (0) | 2011.10.07 |
| 2011.09.30 Tacademy 안드로이드 10일차 메모 (0) | 2011.09.30 |
| 2011.09.28 Tacademy 안드로이드 8일차 메모 (0) | 2011.09.28 |
