현재 자바스크립트 형태(*.js) 로 국내에 유포 중인 GandCrab v5.0.3 에서는 V3 제품 제거와 관련하여 행위 변화가 지속적으로 빠르게 진행 되고 있다. 금일 확인된 형태에서는 %temp%\AhnUn000.tmp 경로에 파일을 복사 한 후 "AhnUn000.tmp -UC" 를 실행하여 제품을 삭제하는 방법이 사용되고 있다.

 


[그림-1] V3Lite 언인스톨 관련 코드 (GandCrab v5.0.3)

 

 

기존에는 -Uninstall 인자 값을 사용하여 삭제하는 형태로 유포 되었지만, 금일 확인된 형태에선 기존 포스팅(*참고: http://asec.ahnlab.com/1169)된 방식에서 -Uninstall 인자값을 더이상 사용하지 않고, -UC 인자 값만 사용한 형태로 확인 되었다.

 

[그림-1]의 코드가 동작했을 때 보여지는 프로세스 구조는 다음과 같다.



[그림-2] 언인스톨 행위 관련 프로세스 구조

 

자사에서는 이러한 행위 변화와 관련하여 아래와 같이 행위기반의 차단을 통해 언인스톨되지 않도록 한다.

 


[그림-3] 행위 탐지

 

V3 제품에서 파일 기반의 진단은 다음과 같다.

- JS/GandCrab.S1

- JS/GandCrab.S2

- Win-Trojan/Gandcrab09.Exp


Posted by 분석팀