0x02 analysis2009. 5. 29. 14:56

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.




이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-




그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.




iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe   
C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer
  HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer


윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.




여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;




아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.




IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.





결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.




추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.




아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.



바이러스토탈 검사 결과

FAM.EXE
FEG.EXE
HO.EXE
JEW.EXE
KICK.EXE
SCUM.EXE

Posted by demantos