0x02 analysis2009. 5. 18. 13:35

새로운(?) 도메인을 알게 되서 포스팅합니다.
hapt03.cn은 이미 잘 알려져 있는 듯 한데 국내에서는 아직인 듯 합니다.
FF로 해당 사이트에 웹으로 접속하면 경고 메시지가 뜹니다.




해당 사이트에 접속시엔 500 Internal Server Error가 나옵니다. 하지만 해당 디렉토리에는 몇개의 파일이 있는 듯 한데
그중에서 하나의 파일을 찾았습니다.

hxxp://shaody.1.jp.hapt03.cn/hack.exe

해당 파일을 다운 받으면 Antivir에서 악성코드라고 잡더군요..
바이러스토탈에 넣어 봤더니 40개 엔진중 18개에서만 탐지가 되고 있었습니다.
V3와 nProtect에서는 탐지가 되고 있었으며 바이로봇에서는 아직 탐지하지 못하는 듯 합니다.
헌데 바이로봇은 15일자 엔진으로 검색하는걸 보니 엔진 업데이트 후 탐지할 가능성도 있습니다.


일단 항상 하던대로 실행시켜보았습니다.




nvhai520.3322.org의 8800번 포트로 접속하는 것을 볼 수 있습니다. 아직도 3322.org는 애용되고 있군요...-_-;;

Winalysis에서 시스템의 변화를 살펴보니 역시나 레지스트리를 여러개 변경하였고 서비스를 하나 등록하는걸 확인하였습니다.
헌데 파일에는 변화가 없다고 나오지만 실제로 살펴보면 svchost.exe에 dll injection을 하고 있었습니다.




시간을 보시면 파일을 실행했던 시간이 나오고 있습니다. 이름부터 좀 이상하죠.. fakqvekk.dll
그리고 해당 프로세스가 nvhai520.3322.org(59.34.245.21)로 접속하는 걸 볼 수 있습니다.




도메인명이 좀 다른데 Reverse-Lookup을 해서 가져온 도메인이 원 도메인명과 약간 다른 듯 합니다.
아무튼 fakqvekk.dll이라는 파일은 새로 생성된 파일인데도 Winalysis에서 못 잡네요...
파일명은 랜덤으로 생성되는 것으로 보입니다.




그리고 다른 악성코드들과는 좀 다르게 C:\WINDOWS\ssytem32에 파일을 생성하는 것이 아니라
C:\WINDOWS\system32\drivers\etc에 생성하고 있었습니다.

그리고 특이한점은 kTGsJaDDRj.ini라는 파일을 생성한 것인데 파일엔 아무런 내용도 없었는데 파일의 크기는 3바이트였습니다.
그래서 데이터 스트림이 있는건 아닐까 하고 lads로 검사해봤지만 데이터 스트림이 숨겨져 있지는 않았습니다.

lads : http://www.heysoft.de/Frames/f_sw_la_en.htm



결국 shaody.1.jp.hapt03.cn은 Dropper임을 확인할 수 있었고 다운 받은 hack.exe라는 파일이 실행되면
nvhai520.3322.org의 8800번 포트로 연결하는 것으로 보아 nvhai520.3322.org는 C&C인 듯 합니다.

뭐...3322.org 자체가 대부분의 ISP에서 차단되어 있기 때문에 큰 영향력을 미치지는 않을 듯 합니다만
동일한 악성코드가 도메인을 바꾸거나 IP로 접속하게 할 경우엔 봇으로 동작할 우려가 아직 남아 있습니다.





Posted by demantos

댓글을 달아 주세요

  1. 알 수 없는 사용자

    상당히 아쉽게도 해당 사이트에 접속이 안되네요.. ㅠ_ㅠ)!!

    2009.05.20 16:28 [ ADDR : EDIT/ DEL : REPLY ]
    • 도메인이 막혔을 가능성이 큽니다.
      dropper나 C&C 도메인들은 ISP에서 IP를 반환을 해주지 않거나
      로컬호스트 IP를 주도록 설정하는 것이 일반적이거든요
      물론 KISA Sinkhole로 보내기도 하구요
      DNS를 다른걸로 잡아보심이 좋을 듯 합니다.

      2009.05.21 09:14 신고 [ ADDR : EDIT/ DEL ]
  2. 알 수 없는 사용자

    아하~ 넵^^ 감사합니다

    2009.05.21 10:45 [ ADDR : EDIT/ DEL : REPLY ]