0x02 analysis2009. 6. 22. 13:59

DNS MX 쿼리 증가 및 스팸 메일을 발송하는 악성코드 #1에 이어서 IRC 서버 접속시 다운로드하는 파일들에 대해서 분석해보도록 하겠습니다.


a.php 파일이 실행된 후에는 두개의 파일이 생성되었고 4개의 서비스가 상태가 변경되었습니다.











그리고 brenz.pl에서 a.php를 다운로드하여 실행하면 lometr.pl 사이트에 특정 파일을 요청하는데
hxxp://lometr.pl/mega/lgate.php?n=C022499D00005058 요청시 해당 파일을 실행했던 폴더에 2B.tmp(파일명은 랜덤)라는 파일이 생성되고 이 파일의 내용은 아래와 같습니다.

 MCBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

Base64로 인코딩되어 있었으며 디코딩하면 다음과 같습니다.

 0 http://brenz.pl/dll/abb.txt 1 http://brenz.pl/met/ge.txt 1

앞서 작성했던 글에서는 암호화되었다고 말씀드렸었는데 제가 제대로 확인을 안했었나 봅니다.
다시 보니 Base64일것 같아 디코딩해보니 URL이 두개가 나오는군요..

이 두개의 파일들은 위에서 보셨던 reader_s.exe와 services.exe 파일과 동일한 파일입니다.
즉, 다운로드 한 후 파일명을 바꿔서 실행을 시키는 것입니다. 파일이 동일하다는 것은 md5sum 해쉬값을 통해서 확인할 수 있었습니다.




두개의 파일을 받은 후에는 엄청난 양의 DNS MX 쿼리가 발생하였고 그로 인해 수많은 프로세스들이 생성되었었습니다.




위 캡쳐화면은 일부에 해당하고 이후에 더 많은 프로세스들이 생성되었었습니다.





a.php 파일을 디버거로 확인해보니 해당 파일 실행시 svchost.exe 프로세스를 생성하고 있었습니다.




0x0040372E에 있는 함수를 실행하면 아래와 같이 svchost.exe 프로세스가 생성만 됩니다.




프로세스 만든 후 메모리에 쓴 후




쓰레드를 재실행합니다.




쓰레드를 재실행하고 나면 다음과 같이 2F.tmp라는 자식 프로세스가 실행되고 이 프로세스에 의해 cmd.exe를 실행하고 윈도우 자체 방화벽 기능을 비활성화시키는 명령을 실행합니다. 그리고 services.exe라는 프로세스를 또 실행시키죠..




결국 brenz.pl에서 다운받은 a.php는 reader_s.exe(/dll/abb.txt)와 services.exe(/met/ge.txt)를 다운로드하여 실행하기 위함인 것을 알 수 있습니다.

지금까지 분석했던 내용을 도식화해보면 다음과 같습니다.




/dll/abb.txt에 의해 생성되는 reaser_s.exe가 스팸 메일을 다량으로 발송하는 프로세스였고
/met/ge.txt에 의해 생성되는 services.exe가 방화벽 기능과 같은 서비스들을 중지시키는 기능을 하고 있었습니다.



분석했던 3개의 파일(a.php, abb.txt, ge.txt)에 대한 바이러스토탈 결과입니다.

a.php : http://www.virustotal.com/ko/analisis/9cf7dfad11887fa34b7bd0eefc70909d9954e3dab3725c8f2800775826305c5f-1245646438
abb.txt : http://www.virustotal.com/ko/analisis/158dd590159ba699318ac8b8d92845a2a12649d0a8454c0ddb513b87a2774c6a-1245646516
ge.txt : http://www.virustotal.com/ko/analisis/652fa9658c088e9761daf5eed8eb40d64d93e5821cb91fa389c6bf98f869424f-1245646559


국내 백신 프로그램들은 대부분 탐지를 하고 있어서 백신 업데이트가 잘 이루어지고 있다면 크게 문제될 것이 없는 듯 보입니다.
대부분이라고 한 것은 일부 악성코드를 일부 백신 프로그램이 아직 탐지를 못하고 있어서입니다. 자세한건 위 링크를 참조하시면 되겠습니다.



www.upononjob.cn이나 horobl.cn이라는 도메인도 패킷 캡쳐시 잡혔었는데 www.upononjob.cn으로 접속시 horobl.cn으로 리다이렉션 되고 있었고
horobl.cn은 접속이 되지 않아 특별히 다른 행동을 하지 않는 것으로 보입니다.
접속이 안된다기 보다는 DNS 질의시 response가 없는 것으로 보아 도메인에 대한 IP가 없는 것으로 보입니다.





Posted by demantos