허니넷 Dropper에서 획득한 파일에 대한 분석입니다.
획득한 파일의 파일 사이즈와 md5sum입니다.
File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad
해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.
삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.
새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.
원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.
그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.
www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.
http://61.131.15.131:8000/www/root/ |
처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.
Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC.. |
(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)
8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.
그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.
안티바이러스 | 엔진 버전 | 정의 날짜 | 검사 결과 |
---|---|---|---|
a-squared | 4.0.0.101 | 2009.05.25 | Backdoor.Win32.Hupigon!IK |
AhnLab-V3 | 5.0.0.2 | 2009.05.25 | - |
AntiVir | 7.9.0.168 | 2009.05.24 | BDS/Hupigon.Gen |
Antiy-AVL | 2.0.3.1 | 2009.05.22 | - |
Authentium | 5.1.2.4 | 2009.05.24 | W32/Hupigon.K.gen!Eldorado |
Avast | 4.8.1335.0 | 2009.05.24 | - |
AVG | 8.5.0.339 | 2009.05.24 | BackDoor.Hupigon5.GHS |
BitDefender | 7.2 | 2009.05.25 | Backdoor.Hupigon.AAFC |
CAT-QuickHeal | 10.00 | 2009.05.23 | (Suspicious) - DNAScan |
ClamAV | 0.94.1 | 2009.05.24 | - |
Comodo | 1157 | 2009.05.08 | - |
DrWeb | 5.0.0.12182 | 2009.05.24 | BackDoor.Pigeon.15147 |
eSafe | 7.0.17.0 | 2009.05.24 | - |
eTrust-Vet | 31.6.6519 | 2009.05.23 | - |
F-Prot | 4.4.4.56 | 2009.05.24 | W32/Hupigon.K.gen!Eldorado |
F-Secure | 8.0.14470.0 | 2009.05.25 | - |
Fortinet | 3.117.0.0 | 2009.05.25 | - |
GData | 19 | 2009.05.25 | Backdoor.Hupigon.AAFC |
Ikarus | T3.1.1.49.0 | 2009.05.25 | Backdoor.Win32.Hupigon |
K7AntiVirus | 7.10.741 | 2009.05.21 | - |
Kaspersky | 7.0.0.125 | 2009.05.25 | - |
McAfee | 5625 | 2009.05.24 | New Malware.ix |
McAfee+Artemis | 5625 | 2009.05.24 | New Malware.ix |
McAfee-GW-Edition | 6.7.6 | 2009.05.24 | Trojan.Backdoor.Hupigon.Gen |
Microsoft | 1.4701 | 2009.05.24 | Backdoor:Win32/Hupigon.gen!B |
NOD32 | 4099 | 2009.05.25 | - |
Norman | 6.01.05 | 2009.05.22 | - |
nProtect | 2009.1.8.0 | 2009.05.24 | - |
Panda | 10.0.0.14 | 2009.05.24 | Suspicious file |
PCTools | 4.4.2.0 | 2009.05.21 | - |
Prevx | 3.0 | 2009.05.25 | - |
Rising | 21.31.00.00 | 2009.05.25 | Backdoor.Win32.Gpigeon2008.cch |
Sophos | 4.42.0 | 2009.05.25 | - |
Sunbelt | 3.2.1858.2 | 2009.05.24 | VIPRE.Suspicious |
Symantec | 1.4.4.12 | 2009.05.25 | - |
TheHacker | 6.3.4.3.331 | 2009.05.25 | - |
TrendMicro | 8.950.0.1092 | 2009.05.25 | - |
VBA32 | 3.12.10.5 | 2009.05.25 | OScope.Backdoor.Hupigon.axbr |
ViRobot | 2009.5.25.1750 | 2009.05.25 | - |
VirusBuster | 4.6.5.0 | 2009.05.24 | - |
바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.