1. /
  2. 보안 연구소/
  3. Trojan.Sasfis
  4. Trojan.Sasfis
  • 추가

Trojan.Sasfis

위험 수준1: 매우 낮음

발견됨:
2010년 2월 2일
업데이트됨:
2013년 7월 11일 7:58:16 AM
다른 이름:
W32/Oficla.AE [F-Secure], Backdoor.Win32.Bredavi.he [Kaspersky], Trojan.Win32.Agent.daec [Kaspersky]
유형:
Trojan
감염 부분 크기:
19,456바이트
영향을 받는 시스템:
Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP
Trojan.Sasfis는 손상된 시스템에 백도어를 여는 트로이 목마입니다. 이 트로이 목마는 스팸 이메일로 수신될 수 있습니다. 이 위협 요소가 실행되면 시스템에서 실행 중인 프로세스에 자신을 삽입하여 은밀하게 작동합니다. 그런 다음 손상된 시스템에 파일을 추가로 다운로드할 수 있습니다.


감염

대개 Trojan.Sasfis는 다음 방법 중 하나로 시스템에 수신됩니다.
  • 스팸 이메일
  • 드라이브 바이 다운로드(Drive-by Download)

스팸 이메일은 이 위협 요소를 배포하는 데 주로 사용되는 방법 중 하나입니다. 이 위협 요소를 확산시키는 데 사용되는 이메일은 사회 공학 기술을 통해 사용자가 첨부 파일을 열거나 모르고 실행하도록 유도하는 경우가 많습니다.

과거 캠페인에서 발견된 항목은 다음과 같습니다.
  • 변경 로그
  • 요금

드라이브 바이 다운로드(Drive-By-Download)는 여러 악용을 포함하도록 조작된 웹 사이트를 사용자가 방문할 때 발생할 수 있습니다. 이러한 악용은 사용자의 동의 없이 사용자 시스템에 멀웨어가 다운로드되도록 합니다.


기능
Trojan.Sasfis는 Microsoft Word를 사용하여 자신을 실행하고 시스템의 합법적 프로세스에 자신을 주입하여 탐지를 피합니다. 이 트로이 목마가 손상된 시스템에 설치되면 명령 제어(C&C) 서버와 통신하여 자신을 봇으로 등록합니다. 그런 다음 C&C 서버의 명령을 위해 대기합니다. 이러한 명령은 대개 추가 파일과 멀웨어를 시스템에 다운로드하는 것입니다.

가짜 안티바이러스 소프트웨어와 같은 멀웨어 작성자는 자신의 멀웨어를 대규모로 확산시킬 수 있는 리소스나 대역폭이 없습니다. 대신 Trojan.Sasfis 봇넷 소유자와 같은 제휴 네트워크를 이용하여 멀웨어를 배포합니다. 그에 대한 댓가로 봇넷 소유자는 각 설치별로 수수료를 지불받습니다. 이러한 PPI(Pay-Per-Install)에 대한 자세한 내용은 이 시만텍 백서에서 확인할 수 있습니다.


Trojan.Sasfis 개요
다음 그림은 이 위협 요소의 감염 방법과 기능을 자세히 보여줍니다.




지리적 분포
이 위협 요소의 지리적 분포는 다음과 같습니다.









감염 수준
이 위협 요소의 전 세계 감염 수준은 다음과 같습니다.






시만텍 보호 요약
시만텍에서는 다음 컨텐츠를 제공하여 이 위협 요소 계열을 방지합니다.

안티바이러스 시그니처


안티바이러스(지능형/일반)


Intrusion Prevention System

안티바이러스 보호 일자

  • Rapid Release 최초 버전2010년 2월 2일 리비전007
  • Rapid Release 최신 버전2014년 12월 20일 리비전023
  • Daily Certified 최초 버전2010년 2월 2일 리비전035
  • Daily Certified 최신 버전2014년 12월 21일 리비전002
  • Weekly Certified 최초 릴리스 날짜2010년 2월 3일
Rapid Release 및 Daily Certified 바이러스 정의에 대한 자세한 설명을 보려면 여기를 누르십시오.

위협도 측정

확산도

  • 확산 수준:Low
  • 감염 개수:0 - 49
  • 사이트 개수:0 - 2
  • 지역적 분포:Low
  • 위협 격리:Easy
  • 제거:Easy

손상

  • 손상 수준:Medium
  • 페이로드 발생 조건:해당 사항 없음
  • 페이로드:백도어를 열어줌 파일을 다운로드하여 실행
  • 대량 이메일 발송:해당 사항 없음
  • 파일 삭제:해당 사항 없음
  • 파일 수정:해당 사항 없음
  • 기밀 정보 유출:해당 사항 없음
  • 성능 저하:해당 사항 없음
  • 시스템 불안정성 유발:해당 사항 없음
  • 보안 설정 손상:해당 사항 없음

배포

  • 배포 수준:Low
  • 이메일 제목:해당 사항 없음
  • 첨부 파일 이름:해당 사항 없음
  • 첨부 파일 크기:해당 사항 없음
  • 포트:해당 사항 없음
  • 공유 드라이브:해당 사항 없음
  • 감염 대상:해당 사항 없음
  • 첨부 파일 타임 스탬프:해당 사항 없음
작성자:Éamonn Young and Eoin Ward
ISTR V16