최근 수정 시각 : 2024-01-17 08:14:30

njRAT

파일:njRAT_images.png
1. 개요2. 사용 방법3. 상황4. 서버 파일 삭제 방법
4.1. 자동 삭제4.2. 수동 삭제
5. 여담

1. 개요

Bladabindi 라고도 하며 RAT(Remote Administration Tool)의 일종이다.
대다수의 백신이 이 프로그램을 트로이목마로 간주한다.

2. 사용 방법

Builder 버튼을 누르면 서버 파일[1] 을 만들 수 있다. 그리고 그 서버 파일을 배포하고 다른 사람이 실행하면 감염되어 원격제어가 가능해진다. 하지만 이 방법은 불법이니 가상머신이나 사용하지 않는 컴퓨터에 실험하도록 하자.

3. 상황

다양한 변종이 나오고 있으며[2] 대부분의 변종은 서버 파일이 심어져 있다. 그리고 이 프로그램은 툴키디들이 많이 사용하는 프로그램이다. 여러 툴키디들이 게임핵 이라며 악성 파일을 유포하는 경우도 종종 보인다. 백신 우회라고 하면서 별 짓을 다 하지만 .Net 디컴파일러로 디컴파일하면 다 들통난다.[3] 만약 암호화 작업이 되어있는 파일이면 바이러스 토탈 이라도 돌려보자. Njrat 서버 파일에 감염되지 않는 방법은 당연히 인터넷에서 받은 파일이나 이메일로 온 파일을 함부로 실행하지 말아야 한다.

4. 서버 파일 삭제 방법

4.1. 자동 삭제

V3, Windows Defender 등으로 검사하고 악성코드를 치료하면 된다.

4.2. 수동 삭제

주의:이 방법은 위험할 수 있으니 자동 삭제가 되지 않을때만 이용하자.
  • C:₩Users₩%username%₩AppData₩Local₩Temp 경로로 오거나 윈도우+R키를 누른 다음 %temp% 를 입력해서 Temp 폴더로 온다.08dr45s 등의 이상한 숫자 영어가 길게 써 있다면 그걸 삭제하면 된다.
  • 위의 방법으로도 삭제가 되지 않는다면 Ctrl+Shift+Esc나 Ctrl+Alt+Delete를 눌러 작업 관리자를 실행한 다음 세부정보로 들어가 svchost.exe 중에서 이상한 걸 찾아보자.[필독]

5. 여담

netstat -na에서 8080 포트가 있으면 감염되었다고 하는 잘못된 정보가 있는데 그것은 과거 봇넷 공격에 사용된 포트가 8080이라서 그런 것이다. 하지만 일반적인 개인 PC 에서 8080 포트가 나온다면 지우는걸 추천한다.
del usp10.dll lpk.dll /a /s에서 파일이 삭제되면 서버파일 감염이라는 잘못된 정보도 있다.


[1] 말만 서버파일이고 클라이언트-서버 개념과 다르다[2] 변종의 경우 기존 njRAT의 메인 색상이나 기능들을 변경 또는 추가한 버전을 뜻한다.[3] 따로 패킹 작업 등을 하지 않았다면, 암호화 할 때 사용했던 키 등등의 정보가 드러나기 때문[필독] 진짜 svchost.exe는 서비스 컨트롤 프로그램인 services.exe 으로부터 실행된다. 따라서 Njrat 등의 위장 프로그램은 services.exe에 의해 실행될 리가 없다.