1. 개요
Bladabindi 라고도 하며 RAT(Remote Administration Tool)의 일종이다.대다수의 백신이 이 프로그램을 트로이목마로 간주한다.
2. 사용 방법
Builder 버튼을 누르면 서버 파일[1] 을 만들 수 있다. 그리고 그 서버 파일을 배포하고 다른 사람이 실행하면 감염되어 원격제어가 가능해진다. 하지만 이 방법은 불법이니 가상머신이나 사용하지 않는 컴퓨터에 실험하도록 하자.3. 상황
다양한 변종이 나오고 있으며[2] 대부분의 변종은 서버 파일이 심어져 있다. 그리고 이 프로그램은 툴키디들이 많이 사용하는 프로그램이다. 여러 툴키디들이 게임핵 이라며 악성 파일을 유포하는 경우도 종종 보인다. 백신 우회라고 하면서 별 짓을 다 하지만 .Net 디컴파일러로 디컴파일하면 다 들통난다.[3] 만약 암호화 작업이 되어있는 파일이면 바이러스 토탈 이라도 돌려보자. Njrat 서버 파일에 감염되지 않는 방법은4. 서버 파일 삭제 방법
4.1. 자동 삭제
V3, Windows Defender 등으로 검사하고 악성코드를 치료하면 된다.4.2. 수동 삭제
주의:이 방법은 위험할 수 있으니 자동 삭제가 되지 않을 때만 이용하자.- C:₩Users₩%username%₩AppData₩Local₩Temp 경로로 오거나 윈도우+R키를 누른 다음 %temp% 를 입력해서 Temp 폴더로 온다.08dr45s 등의 이상한 숫자 영어가 길게 써 있다면 그걸 삭제하면 된다.
- 위의 방법으로도 삭제가 되지 않는다면 Ctrl+Shift+Esc나 Ctrl+Alt+Delete를 눌러 작업 관리자를 실행한 다음 세부정보로 들어가 svchost.exe 중에서 이상한 걸 찾아보자.[필독]
5. 여담
- netstat -na에서 8080 포트가 있으면 감염되었다고 하는 잘못된 정보가 있는데 그것은 과거 봇넷 공격에 사용된 포트가 8080이라서 그런 것이다. 하지만 일반적인 개인 PC 에서 8080 포트가 나온다면 지우는걸 추천한다.
- del usp10.dll lpk.dll /a /s에서 파일이 삭제되면 서버파일 감염이라는 잘못된 정보도 있다.