rundll32.exe의 경우 정상 경로는 windows\system32 입니다.
그러므로 실행되고 있는 rundll32.exe 경로가 system32가 아니라면 악성코드일 가능성이 높습니다.
rundll32.exe가 하는 일은 스스로 실행될 수 없는 라이브러리 수준의 프로그램
(eg . dll파일로 된 프로그램)들을 실행시켜 주는 역할을 합니다.
윈도우에서 이러한 역할을 하는 대표적인 프로세스가 rundll32.exe와 svchost.exe입니다.
ProcessExplorer 로 실행하면 프로그램 실행 경로를 확인 하실 수 있습니다.
프로그램 정보 - http://urin79.com/filelog/532146
어떤 경로에서 어떠한 파일들을 불러오는지 확인해보고 판단해야 할 것 같습니다.
| 번호 | 분류 | 제목 | 날짜 | 조회 수 |
|---|---|---|---|---|
| 217 | AutoHotKey | UrlDownloadToVar() 1 | 2011.02.09 | 15464 |
| 216 | AutoHotKey | 부팅 완료 체크 | 2011.02.09 | 17864 |
| 215 | AutoHotKey | [autohotkey] 레지스트리 재부팅이 필요한 항목 수정후 재부팅 없이 바로 적용시킬수있는 방법 1 | 2011.02.07 | 16145 |
| 214 | 컴퓨터잡담 | IE 추가기능관리 3 | 2011.02.07 | 15482 |
| 213 | 프로세스 | 프로세스 2 3 | 2011.02.07 | 312175 |
| 212 | 프로세스 | CKAgent.exe npkcmsvc.exe nvsvc32.exe 1 | 2011.02.07 | 13217 |
| 211 | 프로세스 | smas.exe 프로세스 내용 및 삭제 1 | 2011.02.06 | 13302 |
| 210 | 프로세스 | RTHDCPL.EXE / Alcmtr.EXE / SKYTEL.EXE 3 | 2011.02.06 | 13681 |
| » | 프로세스 | rundll32.exe와 svchost.exe 6 | 2011.02.06 | 13995 |
| 208 | 프로세스 | npkcmsvc.exe 서비스 끄기 (엔프로텍트 nProtect) 1 3 | 2011.02.06 | 13323 |
| 207 | 프로세스 | JQS.EXE jusched.exe (JavaQuickStarterService) 부팅시 자동실행 중지시키기 4 | 2011.02.06 | 14734 |
| 206 | 프로세스 | dgdersvc.exe 서비스 중지 및 사용안함, 삭제 설정 1 4 | 2011.02.06 | 23937 |
| 205 | AutoHotKey | Mysqld 프로세서 실시간 감시 | 2011.02.06 | 7611 |
| 204 | AutoHotKey | OnMessage() 3 | 2011.02.05 | 20463 |
| 203 | AutoHotKey | [autohotkey] TCP/IP 메시지 전달방법 | 2011.02.05 | 13988 |
| 202 | 컴퓨터잡담 | 언인스톨 사용하기 1 | 2011.02.05 | 3688 |
| 201 | AutoHotKey |
[autohotkey] FTP-업로드 예제분석
2 
|
2011.02.05 | 18619 |
| 200 | AutoHotKey |
[AUTOHOTKEY] FTP 제어
|
2011.02.04 | 25246 |
| 199 | Visual C++ | IOStream 함수 13 | 2011.01.29 | 20026 |
| 198 | Visual C++ | 객체지향 2 | 2011.01.29 | 23844 |
http://urin79.com
우린친구블로그
