0x02 analysis2009. 5. 25. 15:09

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.






삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.




원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.





그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.




www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

  http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

 Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.25 Backdoor.Win32.Hupigon!IK
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.24 BDS/Hupigon.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.24 W32/Hupigon.K.gen!Eldorado
Avast 4.8.1335.0 2009.05.24 -
AVG 8.5.0.339 2009.05.24 BackDoor.Hupigon5.GHS
BitDefender 7.2 2009.05.25 Backdoor.Hupigon.AAFC
CAT-QuickHeal 10.00 2009.05.23 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 BackDoor.Pigeon.15147
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.24 W32/Hupigon.K.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.25 Backdoor.Hupigon.AAFC
Ikarus T3.1.1.49.0 2009.05.25 Backdoor.Win32.Hupigon
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.25 -
McAfee 5625 2009.05.24 New Malware.ix
McAfee+Artemis 5625 2009.05.24 New Malware.ix
McAfee-GW-Edition 6.7.6 2009.05.24 Trojan.Backdoor.Hupigon.Gen
Microsoft 1.4701 2009.05.24 Backdoor:Win32/Hupigon.gen!B
NOD32 4099 2009.05.25 -
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 -
Panda 10.0.0.14 2009.05.24 Suspicious file
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.25 -
Rising 21.31.00.00 2009.05.25 Backdoor.Win32.Gpigeon2008.cch
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.24 VIPRE.Suspicious
Symantec 1.4.4.12 2009.05.25 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 OScope.Backdoor.Hupigon.axbr
ViRobot 2009.5.25.1750 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.24 -



바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.





Posted by demantos

댓글을 달아 주세요