본문 바로가기

악성코드 정보

V3 Lite 언인스톨 행위의 변화 (GandCrab v5.0)

9월 26일 확인된 (GandCrab v5.0 유포에 사용되는)자바스크립트 파일에서 V3 Lite 제품 언인스톨(Uninstall) 행위에서의 변화가 확인되었다. 기존에 PowerShell.exe 하위에 Uninst.exe 프로세스가 실행되는 구조에서 cmd.exe가 추가되었다.


(기존) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "uninst.exe"

(변경) "eventvwr.exe" or "fodhelper.exe" -> "powershell.exe" -> "cmd.exe" -> "uninst.exe"


아래의 [그림-1]은 변경된 자바스크립트에서 V3 Lite 제품에 대한 언인스톨 관련 코드의 변화를 나타낸다.


[그림-1] 언인스톨 방식의 변화


그 외의 AVAST 백신 언인스톨 및 Windows Defender, Microsoft Security Client 서비스 제거 등의 기능은 동일하며 내부에 포함하는 GandCrab은 v5.0으로 확인되었다. V3 Lite 제품에서는 이러한 변화된 언인스톨 행위에 대해 아래의 [그림-2]와 같이 차단하고 있다.

[그림-2] 언인스톨 행위에 대한 차단