얼마전 국내를 강타(?)한 2090 바이러스는 이 글을 읽고 계신분들은 다들 아실겁니다.
무한 재부팅이 된다.. 치료 불가능하다.. 라는 여러가지 루머가 있었습니다.
우연히 커뮤니티를 통해 입수해서 한번 분석을 해보기로 했습니다. 배포는 하지 않습니다.
2090 바이러스는 MS08-067 취약점을 공격한 바이러스입니다. 윈도우 업데이트를 착실하게 잘 하신분들은 전혀 위험하지 않으셨을겁니다.
시스템 날짜가 2090년 1월 1일로 변경되셨던 분들이라면 윈도우 업데이트를 하지 않아셨던겁니다.
0x01 Base Information
입수한 파일은 exe파일과 시스템 파일(sys) 총 두개였습니다. 먼저 간단하게 바이러스토탈을 통해서 검사해 봤습니다.
파일명은 system.exe와 f82abd63e90429ae68cee70e40a51c60.sys였습니다.
system.exe
system.exe의 Virustotal 검사 결과 열기 system.exe의 Virustotal 검사 결과 접기
안티바이러스
엔진 버전
정의 날짜
검사 결과
a-squared
4.0.0.101
2009.02.26
Virus.Win32.PureMorph!IK
AhnLab-V3
5.0.0.2
2009.02.26
Win32/Aimbot.worm.15872
AntiVir
7.9.0.93
2009.02.26
TR/Inject.oqw
Authentium
5.1.0.4
2009.02.26
-
Avast
4.8.1335.0
2009.02.25
Win32:Rootkit-gen
AVG
8.0.0.237
2009.02.26
Generic12.BMBL
BitDefender
7.2
2009.02.26
Trojan.Generic.1425682
CAT-QuickHeal
10.00
2009.02.26
Trojan.Inject.oqw
ClamAV
0.94.1
2009.02.26
-
Comodo
986
2009.02.20
TrojWare.Win32.Agent.~AHA
DrWeb
4.44.0.09170
2009.02.26
-
eSafe
7.0.17.0
2009.02.26
Win32.BackdoorIRCbot
eTrust-Vet
31.6.6375
2009.02.26
Win32/Tnega.Q
F-Prot
4.4.4.56
2009.02.25
-
F-Secure
8.0.14470.0
2009.02.26
Trojan.Win32.Inject.oqw
Fortinet
3.117.0.0
2009.02.26
-
GData
19
2009.02.26
Trojan.Generic.1425682
Ikarus
T3.1.1.45.0
2009.02.26
Virus.Win32.PureMorph
K7AntiVirus
7.10.648
2009.02.26
Trojan.Win32.Inject
Kaspersky
7.0.0.125
2009.02.26
Trojan.Win32.Inject.oqw
McAfee
5536
2009.02.25
Generic.dx
McAfee+Artemis
5536
2009.02.25
Generic.dx
Microsoft
1.4306
2009.02.26
Backdoor:Win32/IRCbot.CK
NOD32
3892
2009.02.26
probably a variant of Win32/Genetik
Norman
6.00.06
2009.02.26
W32/Malware.FPKK
nProtect
2009.1.8.0
2009.02.26
Trojan/W32.Agent.15872.AY
Panda
10.0.0.10
2009.02.26
Generic Malware
PCTools
4.4.2.0
2009.02.26
Backdoor.IRCBot!sd6
Prevx1
V2
2009.02.26
High Risk System Back Door
Rising
21.18.32.00
2009.02.26
-
SecureWeb-Gateway
6.0.0
2009.02.26
Trojan.Inject.oqw
Sophos
4.39.0
2009.02.26
Troj/Agent-IWJ
Sunbelt
3.2.1858.2
2009.02.25
-
Symantec
10
2009.02.26
W32.IRCBot
TheHacker
6.3.2.5.265
2009.02.25
Trojan/Inject.ore
TrendMicro
8.700.0.1004
2009.02.26
TROJ_AGENT.ASF
VBA32
3.12.10.0
2009.02.26
Trojan.Win32.Inject.oqw
ViRobot
2009.2.26.1625
2009.02.26
Trojan.Win32.Crypt.15872.B
VirusBuster
4.5.11.0
2009.02.25
-
추가 정보
File size: 15872 bytes
MD5...: 9420396e9264918f50155b577ceda82e
SHA1..: 90dca7c4f3ce77e877d199938e4262030da6b1f1
SHA256: 4384a7f2932f8e72cec34b47a1c6b5050b704b3cfe0c3d96feaa63a46eda7fbb
SHA512: 9eb6300fb02ada6b93f07486f22a91a1e06534aef6968c4e7af3a5c9980aa190bcd3ad24aadadda6c296920ac02d4a4e5c05b7542f74b0eb7e15465757d431b1
ssdeep: 384:BqAUNBRnfj+Wg6k7/LfXh20G4WACIA6c2gf4QKGzUn:8HNBR7+RLL/rG4Wmc2jQK
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (43.8%)
Win32 EXE Yoda's Crypter (38.1%)
Win32 Executable Generic (12.2%)
Generic Win/DOS Executable (2.8%)
DOS Executable Generic (2.8%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40d580
timedatestamp.....: 0x498b7f39 (Fri Feb 06 00:07:21 2009)
machinetype.......: 0x14c (I386)
( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xa000 0x4000 0x3800 7.83 2d7550dc66ef3b704186e35d05d010b9
UPX2 0xe000 0x1000 0x200 1.66 8580a49654230f68fc284c6006ff79bf
( 1 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
( 0 exports )
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=9420396e9264918f50155b577ceda82e
packers (Avast): UPX
packers (F-Prot): UPX
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=9420396e9264918f50155b577ceda82e
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AD4BDB35000AE0843EC900879A71C90060DF3016
system.exe의 Virustotal 검사 결과 접기
f82abd63e90429ae68cee70e40a51c60.sys
드라이버파일(sys)의 Virustotal 검사 결과 열기 드라이버파일(sys)의 Virustotal 검사 결과 접기
안티바이러스
엔진 버전
정의 날짜
검사 결과
a-squared
4.0.0.93
2009.02.26
Rootkit.Win32.Agent!IK
AhnLab-V3
2009.2.26.0
2009.02.25
Win-Trojan/Agent.4096.EI
AntiVir
7.9.0.88
2009.02.26
TR/Rootkit.Gen
Authentium
5.1.0.4
2009.02.25
-
Avast
4.8.1335.0
2009.02.25
Win32:Rootkit-gen
AVG
8.0.0.237
2009.02.25
BackDoor.Generic10.ARXL
BitDefender
7.2
2009.02.26
Rootkit.13214
CAT-QuickHeal
10.00
2009.02.26
TrojanDropper.Agent.ahfn
ClamAV
0.94.1
2009.02.25
-
Comodo
983
2009.02.20
-
DrWeb
4.44.0.09170
2009.02.26
Trojan.NtRootKit.2692
eSafe
7.0.17.0
2009.02.25
-
eTrust-Vet
31.6.6375
2009.02.26
Win32/Dogrobot.O
F-Prot
4.4.4.56
2009.02.25
-
F-Secure
8.0.14470.0
2009.02.26
Rootkit.Win32.Agent.hcd
Fortinet
3.117.0.0
2009.02.26
W32/Agent.HCD!tr.rkit
GData
19
2009.02.26
Rootkit.13214
Ikarus
T3.1.1.45.0
2009.02.26
Rootkit.Win32.Agent
K7AntiVirus
7.10.647
2009.02.25
Rootkit.Win32.Agent
Kaspersky
7.0.0.125
2009.02.26
Rootkit.Win32.Agent.hcd
McAfee
5536
2009.02.25
Generic Rootkit.d
McAfee+Artemis
5536
2009.02.25
Generic Rootkit.d
Microsoft
1.4306
2009.02.26
VirTool:WinNT/Rootkitdrv.GH
NOD32
3890
2009.02.26
Win32/Agent.NVL
Norman
6.00.06
2009.02.25
W32/Rootkit.AHRM
nProtect
2009.1.8.0
2009.02.26
Trojan/W32.Agent.4096.AC
Panda
10.0.0.10
2009.02.26
Rootkit/Agent.LOC
PCTools
4.4.2.0
2009.02.25
Rootkit.Agent!sd6
Prevx1
V2
2009.02.26
-
Rising
21.18.31.00
2009.02.26
-
SecureWeb-Gateway
6.0.0
2009.02.26
Trojan.Rootkit.Gen
Sophos
4.39.0
2009.02.26
Troj/Agent-IWJ
Sunbelt
3.2.1858.2
2009.02.25
-
Symantec
10
2009.02.26
Trojan Horse
TheHacker
6.3.2.5.265
2009.02.25
-
TrendMicro
8.700.0.1004
2009.02.26
TROJ_AGENT.ASF
VBA32
3.12.10.0
2009.02.26
Rootkit.Win32.Agent.hg
ViRobot
2009.2.26.1624
2009.02.26
Trojan.Win32.RT-Agent.4096.L
VirusBuster
4.5.11.0
2009.02.25
-
추가 정보
File size: 4096 bytes
MD5...: f82abd63e90429ae68cee70e40a51c60
SHA1..: 0ca49bda2eb8c6a427cac29d5afa0764ae86a758
SHA256: 36f9342984af492a15d0ed57f949cee4356aba2281126baf20438c4adfd1b168
SHA512: a73387cc2bb074e56c78cbb8afc8f79293adeb95e316704f0ae9f5a2932afddad84638c8c9a37c339746071a461060c773dcc5aefa14542eabeccace30244e22
ssdeep: 48:iKXTTvrp9HKtE/R5RpJuERgEYjNy3nTZ7W0zupFZg6uC7y:pnPKtE/fJp0N+NleZgMO
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10752
timedatestamp.....: 0x498b79e7 (Thu Feb 05 23:44:39 2009)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x5a1 0x600 6.18 6db691f27549bb8c2672ebcc229ae41c
.rdata 0x900 0x96 0x100 2.58 fb2f8896765695d40d5b5432b14a0dd9
.data 0xa00 0x298 0x300 0.84 e3331bb96970d402b2ed224bf7bab8d5
INIT 0xd00 0x1cc 0x200 4.66 d8cecf27322ba58d31f5de90e9dccd75
.reloc 0xf00 0x9e 0x100 3.27 830aa97165a7720493dda16f915e0f3a
( 2 imports )
> ntoskrnl.exe: ZwClose, ObfDereferenceObject, MmIsAddressValid, ObReferenceObjectByHandle, ZwOpenKey, ExAllocatePoolWithTag, IofCompleteRequest, IofCallDriver, MmMapLockedPages, ObReferenceObjectByName, IoDriverObjectType, _wcsupr, RtlInitUnicodeString, wcsstr
> HAL.dll: KfLowerIrql, KeRaiseIrqlToDpcLevel
( 0 exports )
드라이버파일(sys)의 Virustotal 검사 결과 접기
뭐...대부분의 백신에서 현재는 탐지가 가능합니다.
system.exe 파일의 import되는 함수들만 봐도 악성코드라는 것을 어느 정도 짐작이 가능합니다.
0x02 행동 분석
먼저 SysAnalyzer를 통해서 분석해 보았습니다.
SysAnalyzer 분석 결과 열기 SysAnalyzer 분석 결과 접기
Processes:
PID ParentPID User Path
--------------------------------------------------
2040 460 XP:demantos D:\malware\system.exe
Loaded Drivers:
Driver File Company Name Description
--------------------------------------------------
C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys
Monitored RegKeys
Registry Key Value
--------------------------------------------------
Hklm\SYSTEM\CurrentControlSet\Services\NvCplDaemon
Kernel31 Api Log
--------------------------------------------------
***** Installing Hooks *****
719e74df RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\WinSock2\Parameters)
719e80c4 RegOpenKeyExA (Protocol_Catalog9)
719e777e RegOpenKeyExA (00000004)
719e764d RegOpenKeyExA (Catalog_Entries)
719e7cea RegOpenKeyExA (000000000001)
719e7cea RegOpenKeyExA (000000000002)
719e7cea RegOpenKeyExA (000000000003)
719e7cea RegOpenKeyExA (000000000004)
719e7cea RegOpenKeyExA (000000000005)
719e7cea RegOpenKeyExA (000000000006)
719e7cea RegOpenKeyExA (000000000007)
719e7cea RegOpenKeyExA (000000000008)
719e7cea RegOpenKeyExA (000000000009)
719e7cea RegOpenKeyExA (000000000010)
719e7cea RegOpenKeyExA (000000000011)
719e2623 WaitForSingleObject(778,0)
719e87c6 RegOpenKeyExA (NameSpace_Catalog5)
719e835b RegOpenKeyExA (Catalog_Entries)
719e84ef RegOpenKeyExA (000000000001)
719e84ef RegOpenKeyExA (000000000002)
719e84ef RegOpenKeyExA (000000000003)
719e2623 WaitForSingleObject(770,0)
719d1af2 RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\Winsock2\Parameters)
719d198e GlobalAlloc()
7c80b719 ExitThread()
76ed72cc GetVersionExA()
76ed7190 RegOpenKeyExA (HKLM\System\CurrentControlSet\Services\Tcpip\Parameters)
4021a9 LoadLibraryA(dnsapi.dll)=76ed0000
5c823344 GetVersionExA()
5c8233ab GetCommandLineA()
5c824952 GetVersionExA()
5c8254e8 GetCurrentProcessId()=2040
5c825742 GetVersionExA()
7d606513 GetVersionExA()
4021a9 LoadLibraryA(shell32.dll)=7d5a0000
4021a9 LoadLibraryA(mpr.dll)=71a50000
40167a CreateMutex(NvCplDaemon)
405c8f GetVersionExA()
4017af RegOpenKeyExA (HKLM\Software\\Microsoft\\Windows\\CurrentVersion\\Run)
77d9c7ce RegOpenKeyExA (HKLM\Software\Microsoft\Rpc)
4022ea RegCreateKeyExA (HKLM\.htc,(null))
4022ea RegCreateKeyExA (HKLM\SYSTEM\\CurrentControlSet\\Services\\SharedAccess\\Parameters\\FirewallPolicy\\StandardProfile\\AuthorizedApplications\\List,(null))
40231b RegSetValueExA (D:\malware\system.exe)
4022ea RegCreateKeyExA (HKLM\Software\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon,(null))
40231b RegSetValueExA (Userinit)
401bea Copy(D:\malware\system.exe->C:\WINDOWS\system32\4026202)
7c8283dc WriteFile(h=74c)
401c0b CreateFileA(C:\WINDOWS\system32\4026202)
401016 LoadLibraryA(icmp.dll)=741d0000
76d1554d GetVersionExA()
76d157ff CreateFileA( \\.\Ip )
76d15ad2 RegOpenKeyExA (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage)
76d15aec RegOpenKeyExA (HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\)
76d15b03 RegOpenKeyExA (HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces)
76d15b1d RegOpenKeyExA (HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters)
7c8106e5 CreateRemoteThread(h=ffffffff, start=4048bc)
7c8106e5 CreateRemoteThread(h=ffffffff, start=405ab2)
404915 WaitForSingleObject(6f0,ffffffff)
7c8106e5 CreateRemoteThread(h=ffffffff, start=404f4e)
401c74 CreateFileA(D:\malware\system.exe)
7c865b34 GetCurrentProcessId()=2040
4011fd OpenProcess(pid=1440)
401294 WriteProcessMemory(h=6e0,len=240)
7466270a GetVersionExA()
40130f WriteProcessMemory(h=6e0,len=188)
40135b WriteProcessMemory(h=6e0,len=cb)
40137b CreateRemoteThread(h=6e0, start=4400000)
401cf7 CreateFileA(C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys)
401d25 WriteFile(h=6e0)
74663107 RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\Compatibility\system.exe)
74663107 RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\SystemShared\)
746624b9 CreateMutex(CTF.LBES.MutexDefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
746624b9 CreateMutex(CTF.Compart.MutexDefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
746624b9 CreateMutex(CTF.Asm.MutexDefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
746624b9 CreateMutex(CTF.Layouts.MutexDefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
746624b9 CreateMutex(CTF.TMD.MutexDefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
74663107 RegOpenKeyExA (HKCU\Keyboard Layout\Toggle)
7466266a RegOpenKeyExA (HKLM\SOFTWARE\Microsoft\CTF\)
746646ce GetCurrentProcessId()=2040
746624b9 CreateMutex(CTF.TimListCache.FMPDefaultS-1-5-21-1202660629-1844823847-1177238915-1003MUTEX.DefaultS-1-5-21-1202660629-1844823847-1177238915-1003)
7467d7aa WaitForSingleObject(6bc,1388)
40151c RegCreateKeyA (HKLM\SYSTEM\\CurrentControlSet\\Services\\NvCplDaemon)
77f7bcfc RegCreateKeyExA (HKLM\SYSTEM\\CurrentControlSet\\Services\\NvCplDaemon,(null))
40154d RegSetValueExA (DisplayName)
7469609a GetCurrentProcessId()=2040
404952 RegOpenKeyExA (HKLM\SYSTEM\\CurrentControlSet\\Control\\Session Manager)
40157e RegSetValueExA (ImagePath)
4015a3 RegSetValueExA (Type)
4015c8 RegSetValueExA (Start)
7c8165a3 WaitForSingleObject(6ac,64)
404993 RegDeleteValueA (PendingFileRenameOperations)
75128f48 GetVersionExA()
7513523b GetVersionExA()
7512d50a LoadLibraryA(C:\WINDOWS\system32\ole32.dll)=76970000
4b5450b2 LoadLibraryA(imm32.dll)=762e0000
4b54bcd4 GetVersionExA()
4b544ea1 CreateMutex(ImeKr61ImeData.Mutex)
4b544e6f WaitForSingleObject(6a8,bb8)
4b543a78 RegOpenKeyExA (HKLM\SYSTEM\Setup)
DirwatchData
--------------------------------------------------
WatchDir Initilized OK
Watching C:\DOCUME~1\demantos\LOCALS~1\Temp
Watching C:\WINDOWS
Watching C:\Program Files
Modifed: C:\WINDOWS\system32\config\system.LOG
Created: C:\WINDOWS\system32\4026202
Modifed: C:\WINDOWS\system32\4026202
Created: C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys
Modifed: C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys
Modifed: C:\WINDOWS\system32
Created: C:\WINDOWS\Prefetch\SNIFF_HIT.EXE-1AB02EA8.pf
Modifed: C:\WINDOWS\Prefetch\SNIFF_HIT.EXE-1AB02EA8.pf
Created: C:\DOCUME~1\demantos\LOCALS~1\Temp\JETD97A.tmp
Created: C:\DOCUME~1\demantos\LOCALS~1\Temp\JET3.tmp
Deteled: C:\DOCUME~1\demantos\LOCALS~1\Temp\JET3.tmp
Deteled: C:\DOCUME~1\demantos\LOCALS~1\Temp\JETD97A.tmp
Created: C:\DOCUME~1\demantos\LOCALS~1\Temp\~DF2140.tmp
Modifed: C:\DOCUME~1\demantos\LOCALS~1\Temp\~DF2140.tmp
File: system.exe
Size: 15872 Bytes
MD5:
Packer: File not found C:\iDEFENSE\SysAnalyzer\peid.exe
SysAnalyzer 분석 결과 접기
system.exe가 실행되면 드라이버 파일인 C:\DOCUME~1\demantos\LOCALS~1\Temp\07164.sys 와 system.exe 파일과 동일한 파일인 C:\WINDOWS\system32\4026202 파일 두개를 생성합니다. system32 폴더 아래에 생성되는 일곱자리 숫자로 된 파일은 system.exe 파일을 복사해서 새롭게 만들어 내는 파일입니다.
특이한 점은 system.exe가 정상적으로 실행되지 않으면 계속해서 다른 이름의 파일을 생성해냅니다.
그리고 HKLM\SYSTEM\\CurrentControlSet\\Services\\NvCplDaemon 위치에 새로운 레지스트 키값을 생성하는 걸 확인할 수 있었습니다.
이 레지스트리값은 앞에서 생성된 드라이버 파일에 대한 내용이었습니다.
system.exe가 실행이 되면 sex.pornosurkiye.com로 접속하기 위해 쿼리를 날립니다
위 도메인은 KISA에서 국내 ISP에게 차단을 요청한 도메인입니다. 제가 설정한 DNS는 필터링이 안되어 IP를 그대로 가져올 수 있었습니다. 해당 도메인에 대한 IP를 받아 오지 못할 경우 system.exe가 제대로 실행되지 않아 계속 에러 메시지를 출력했었습니다.
특이한 점은 클라이언트가 85.17.136.148에 접속을 하게 되는데 reverse lookup을 하면 sex.pornoturkiye.com이 아닌 hosted-by.leaseweb.com라는 도메인이 나오게 된다는 것입니다. (DNS 정보는 삭제했습니다)
process explorer에서 확인해보면 실제로도 hosted-by.leaseweb.com에 연결하는 것을 확인할 수 있었습니다.
hosted-by.leaseweb.com의 81번 포트로 연결을 하는데 IRC 서버였습니다.
IRC 서버 접속 후에는 특별히 다른 행동을........하나? 안하나?
일단 감염이된 PC는 같은 네트워크 대역의 살아있는 호스트들을 찾습니다.
그리고 응답이 오는 호스트가 있으면 MS08-067 취약점에 대해서 공격을 시도합니다.
추가적인 전파를 위해 같은 네트워크 대역에 PING을 날립니다. 그리고 B클래스를 고정시키고 C클래스를 하나씩 늘려가면서 계속 PING을 날리는 지독함까지 보여주고 있습니다. -_-
그리고 youtube.srv837.com이라는 도메인에 대한 쿼리를 보내고 접속을 한 후 mgg.txt 파일을 요청을 합니다. 그런데 mgg.txt 파일에는 별다른 내용은 없고
????????!!! :@% 와 같은 문자열이 몇줄 있었습니다. 수상해서 직접 저 도메인에 접속을 해보니 이번에는 _album9837.src이라는 스크린세이버 파일을 다운 받았습니다. 이 파일은 처음에 실행되었던 system.exe 파일과 동일한 파일이었습니다. 직접 실행해보니 실행 잘되고 또 처음에 봤던 sex.pornoturkiye.com으로 쿼리 날리는 행동부터 했었습니다.
0x03 결론
다들 아시다시피 대부분의 악성코드들은 도메인 네임을 주로 사용합니다. 그래서 ISP들도 도메인을 많이 차단을 하죠.
이번 2090 바이러스가 처음 전파되는 과정에서 KISA와 ISP 모두 sex.pornoturkiye.com 도메인을 차단했었습니다.
저도 처음엔 그러려니 했었는데 직접 확인해보니 다른 도메인들이 더 나왔습니다. 2090 바이러스로 인해 발생되는 DNS 쿼리 확인 결과 다음과 같은 숙주도메인이나 의심되는 악성 도메인을 찾을 수 있었습니다.
sex.pornoturkiye.com (85.17.136.148)
hosted-by.leaseweb.com (85.17.136.148)
youtube.srv837.com (72.167.232.8)
p3nlh003.shr.prod.phx3.secureserver.net (72.167.232.8)
물론 바이너리를 분석해봐야 더 정확한 내용을 알 수 있겠지만 저는 해당 바이러스를 실행시킴으로써 발생되는 트래픽만을 가지고 분석했습니다.
아직 바이너리를 능숙하게 분석할 능력이 부족하여...ㅜ.ㅜ
조만간 바이너리도 분석을 해보고 정확한 데이터가 나오면 다시 글을 게재하겠습니다.
p.s 지금 이 글을 쓰고 있는 상황에서 85.17.136.148 IRC 서버에 계속 접속해 있는 상태인데 별다른 행동없이 PING/PONG만 하고 있습니다.
아마도 공격자가 잠을 자고 있는게 아닐런지...-_-
whois에서 검색해보면 IRC 서버 IP가 네델란드로 나옵니다.