'Malware'에 해당되는 글 7건

  1. 2010.11.17 Koobface 봇넷의 내부 정보 및 재정을 공개한 보고서 발표
  2. 2009.06.16 alosha.endofinternet.org 1
  3. 2009.05.29 welovewarez.com 1
  4. 2009.05.26 www.520iq.com 2
  5. 2009.05.25 www.gaogm.com
  6. 2009.05.23 네이트온 관련 악성코드 9
  7. 2009.05.18 shaody.1.jp.hapt03.cn 3
0x04 reference&tools2010. 11. 17. 10:21



[출처 : Symantec]

2010년 11월 12일(GMT), Koobface 봇넷 및 내부 운영에 대한 상세 정보를 공개하는 보고서가 발표되었습니다. 이 보고서는 해당 봇넷 일부 인프라의 실질적인 폐쇄와 때를 같이해 발표되었습니다.

영국에 기반한 ISP Coreix가 Koobface 봇넷 운영에 사용되는 이미 알려진 세 개의 C&C(Command and Control) 서버 중 하나에 대한 조치를 취했습니다.

Koobface는 소셜 네트워킹 사용자를 대상으로 하는 2008년 중반에 처음 모습을 드러낸 비교적 새로운 웜입니다. Koobface가 많은 소셜 네트워킹 사이트의 사용자들을 공격할 수 있지만, 특히 Facebook 사용자 대해 효과적인데, 이 때문에 Koobface라는 이름이 붙여졌습니다.

감염된 컴퓨터의 사용자가 자신의 계정에 로그인하면, 동영상과 같은 다양한 아이템에 대한 링크를 포함한 메시지를 게시할 목적으로 세션 가로채기가 수행됩니다. 해당 링크는 종종 다계층의 리디렉션을 수행하며, 최종적으로 비디오 코덱으로 위장한 위조 안티바이러스 소프트웨어를 전형적으로 제공하는 다양한 사이트로 연결됩니다.

해당 봇넷 운영의 재정 부분은 이 보고서에서 다루고 있는 흥미로운 부분입니다. 해당 정보는 이 봇넷 운영자들이 자신들의 사업을 제어 및 모니터링할 목적으로 관리하는 "mothership" 컴퓨터에 의해 관리되고 있는 파일
및 레코드에서 수집되었습니다.

해당 보고서는 Koobface가 PPC(Pay Per Click) 광고 및 악성 프로그램의 PPI(Pay Per Install)를 위주로 한 다양한 작업들을 통해 수익을 창출하고 있다고 언급하고 있습니다. 연구원들이 조사를 수행한 기간인 2009년 6월부터 2010년 6월 동안 해당 봇넷이 창출한 자금은 거의 미화 200만 달러에 달했습니다.


Koobface: Inside a Crimeware Network
http://www.infowar-monitor.net/reports/iwm-koobface.pdf

Posted by demantos
0x02 analysis2009. 6. 16. 13:28

허니넷을 통해 획득한 파일입니다.

File name : yeah.exe
File size : 66734 byte
md5sum : b6d37181c6c5fba6dbd115ca14f15141


처음 실행했을땐 별거 아니라 생각했는데 생각보다 재미있는 녀석이라 포스팅합니다. ^^;

해당 파일을 실행하면 alosha.endofinternet.org의 8333번 포트로 접속합니다.




접속시 뭔가 데이터를 전송하고 있는데 뭔지는 잘 파악이 안되는군요..-_-;;




접속 후 전송하는 내용을 보aus alosha.endofinternet.org:8333 웹 서버로 특정 데이터를 계속 전송하는데 POST 방식을 사용하고 있었고
URL은 날짜와 시간으로로 된 경로명의 jsp 파일로 전송하고 있었습니다.




하지만 최초 연결 후 패킷을 캡쳐하는 동안에는 별다른 데이터를 전송하지 않고 있었고 모두 Contect-Length가 0이었습니다.
이런 사실들로 미루어 보아 최초 접속 후에는 Health-Check를 하는게 아닌가 하는 생각이 듭니다.




그리고 TCPView로 확인해보면 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결되어 ESTABLISHED된 것을 확인할 수 있었습니다.




시스템에서의 변화는 파일이 4개가 생성되었고 서비스가 2개 추가되었습니다.





해당 서비스는 sbchost.exe를 통해서 서비스가 구동되고 있었고 해당 프로세스가 alosha.endofinternet.org(158.182.6.234)의 8333 포트로 연결하고 있었습니다.




생성되었던 oschkl.rxr 파일이 위에 보이시는 yrxkzgfp 서비스를 구동하는 파일이었고 나머지 3개의 파일은 Network Connection Manager 서비스와
연관이 있는 파일이었습니다.

그런데 이 3개의 파일들이 모두 각각 특징을 가지고 있었습니다.

oschkl.hbv : 언제 어떤 프로세스를 실행했는지에 대한 기록 저장
oschkl.gtm : 사용자가 실행시킨 프로세스에 DLL 인젝션되는 파일
438d5.kol : 어디에 사용되는지 잘 모르겠지만 내용은 0만 가지고 있음

oschkl.hbv 파일은 IE를 후킹해서 오픈한 사이트와 입력한 문자열들도 모두 저장하고 있었습니다.
아래 그림을 보시면 시간 정보와 실행한 프로세스 혹은 선택한 프로그램에 대한 정보를 기록하고 있었고
naver.com에 접속해서 demantos라는 아이디와
hahaha라는 패스워드를 입력한 결과도 저장하고 있었습니다.




oschkl.htm은 현재 실행되고 있는 모든 프로세스에 DLL 인젝션되고 있었고 새로 실행되는 프로세스에도 인젝션을 하고 있었으며
모든 프로세스에서 발생되는 이벤트(?)들을 기록하고 있었습니다.




좀 더 확인을 해보니 사용자가 입력한 키값도 그대로 저장하고 있더군요(키보드 후킹)
아래 내용은 제가 시작 -> 실행에서 services.msc를 입력한 후 mmc.exe가 실행된 것을 후킹한 내용과 서비스 관리 메뉴에서 yrxkzgfp 서비스를 검색하기 위해
y를 두번 누르고 Network Connection Manager를 찾기 위해 net을 입력한 내용입니다.







지속적으로 모니터링을 했지만 alosha.endofinternet.org:8333로 oschkl.hbv 파일의 내용은 전송하지 않는 것으로 보입니다.
하지만 계속 연결이 되어 있는 것으로 보아 해당 도메인은 C&C 도메인일 가능성이 높고
공격자가 특정 명령을 수행하면 oschkl.hbv 파일의 내용을 가져갈 것으로 생각됩니다.


안타까운 사실은 역시나 국내 백신 엔진들이 아직 탐지를 못하고 있다는 것이었습니다.

http://www.virustotal.com/ko/analisis/5d6fa1ef7df98256cb9640cd3a6b2177567a90d289d271f121cedb7eabc0f0bc-1245119564









Posted by demantos
0x02 analysis2009. 5. 29. 14:56

어제 허니넷에서 획득한 파일 중 특이한 녀석이 있어서 분석해봤습니다.
그다지 특이하지 않을 수 있지만 보인에겐 좀 특이했습니다. -_-;;

일단 Dropper FTP에 접속하니 몇개의 파일들이 있었습니다.




이 중에서 다운로드하여 실행하는 악성코드는 JEW.EXE였습니다.
JEW.EXE외의 다른 파일들도 악성코드라 생각되어 Virustotal에 업로드해보니 FEG.EXE와 KICK.EXE는 악성코드가 아니라고 나왔고
TWAT.EXE는 40개 엔진 중 3개의 엔진에서만 악성코드로 탐지하고 있었습니다.
개인적으로 TWAT.EXE 파일이 뭔가 좀 의심스럽습니다. 추후 별도로 분석을 해볼 생각입니다.
바이러스토탈 결과는 제일 아래쪽 첨부하였으니 참고하시면 되겠습니다.


일단 JEW.EXE의 행동분석을 해봤습니다.

File size : 97,284 byte
md5sum : 32c4534068a9e83634b90aae40c8a1de

항상 그랬듯이 winalysis로 시스템의 변화를 살펴보았는데 레지스트리만 변경되고 파일이나 서비스 등 다른 항목에서의 변화는 없다고 나왔습니다.
그런데 확인 결과 winalysis가 저에게 거짓말을 하고 있었습니다. -_-




그런데 실제로는 C:\WINDOWS\system 폴더에 iexplorer.exe 파일이 생성되어 있었습니다.




iexplorer.exe는 JEW.EXE와 파일 사이즈 및 md5 해쉬값이 동일한 같은 파일이었습니다.

솔직히 지금까지 모르고 있었던게 우리가 사용하는 IE 브라우저의 파일명이 iexplore.exe라는 것입니다.
악성코드와 알파벳 r 하나 차이가 있습니다. 지금까지는 iexplorer.exe가 IE 브라우저의 파일명이라고 생각했었습니다.

아마 이 글을 읽고 계신 여러분들께서는 이러한 사실을 알고 계셨던 분들도 계실것이고 모르셨던 분들도 계셨을겁니다.
저는 오늘 알았습니다. ^^;


다시 본론으로 넘어오겠습니다.

악성코드 실행시 변경되는 레지스트리 중 다음과 같은 내용이 있었습니다.

  HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe   
C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer
  HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
  \List\C:\WINDOWS\system\iexplorer.exe    C:\WINDOWS\system\iexplorer.exe:*:Enabled:iexplorer


윈도우 방화벽 정책에서 해당 프로그램(iexplorer.exe)의 외부 접속에 대한 허용 설정을 하는 레지스트리였습니다.

그리고 악성코드 실행시 tl6.welovewarez.com으로 접속하는 것을 확인할 수 있었습니다.




여기서 좀 이상했던 점이 있었는데 tl6.welovewarez.com이나 welovewarez.com을 nslookup으로 확인해보면 85.17.141.84라는 아이피가 나옵니다.
85.17.141.84로 reverse lookup을 해보면 google.com이 나옵니다. 둘이 어떤 관계일까요? -_-;;




아무튼 tl6.welovewarez.com의 8782번 포트로 접속하는데 IRC 서버였습니다.
제가 접속할 당시에는 IRC에서 65.x.x.x:445로 랜덤 포트스캔 명령을 전달하고 있었습니다.




IRC서버에 접속해서 명령을 받아오는 프로세스는 앞에서 생성되었던 C:\WINDOWS\system\iexplorer.exe이고
65.x.x.x로 랜덤 포트 스캔도 해당 프로세스가 수행하고 있었습니다.





결국 JEW,EXE를 실행하면 C:\WINDOWS\system\iexploere.exe를 생성하고 이 파일은 tl6.welovewarez.com의 8782번 포트로 접속하는데
tl6.welovewarez.com은 C&C 서버였고 접속 당시 해당 C&C 서버에서 좀비에게 65.x.x.x:445 포트 스캔 명령을 내리고 있었습니다.

다행히 V3, nProtect, Virobot에서는 모두 탐지하고 있었습니다.




추가적으로 확인해봐야겠지만 FTP에 있던 다른 파일들도 JEW.EXE 파일과 연관성이 있지 않을까 하는 생각이 듭니다.
특히 TWAT.EXE는 파일 사이즈도 큰데다가 3개의 엔진에서만 악성코드로 탐지하고 있어서 분명 뭔가 있을 듯 합니다.

내일도 근무니 내일 한번 확인해봐야겠습니다.




아....이런.... 어리버리한 짓을 했습니다.
FTP에서 파일을 받을때 bin 옵션을 주지 않고 그냥 받았네요. -_-;;
덕분에 TWAT.EXE가 사이즈가 왜 다른가 했더니 ASCII 모드로 받아서 그랬습니다.
TWAT.EXE 다시 받았더니 SFX RAR 파일이군요..
거기다가 SCUM.EXE 파일이 추가되었습니다. (White Zombie의 Scum of the Earth가 생각 나는군요...^^;)
어제는 없었는데 확인해보니 어제 퇴근 후에 파일이 추가된 듯 합니다.
분석해볼께 하나 더 늘었군요~

확인해보니 SCUM.EXE는 JEW.EXE와 사이즈는 다르지만 행동은 동일한 듯 합니다.
시점의 차이인지 파일의 차이인지 바이너리를 까봐야 알겠지만 SCUM.EXE를 실행하면 91.x.x.x로 스캔을 하고 있었습니다.

TWAT.exe의 바이러스토탈 결과는 삭제했습니다.
압축 파일 안에 4개의 파일이 있으니 압축을 풀어서 분석해봐야겠습니다.



바이러스토탈 검사 결과

FAM.EXE
FEG.EXE
HO.EXE
JEW.EXE
KICK.EXE
SCUM.EXE

Posted by demantos
0x02 analysis2009. 5. 26. 15:12

오늘도 허니넷을 통해 획득한 악성코드를 실행해 보았습니다.
해당 악성코드는 FTP를 통해서 유포되고 있었으며 FTP 접속 후에 확인 결과 동일한 기능을 하는 여러가지 파일들이 있었습니다.
파일명은 519.exe, 522.exe, 523.exe와 같은 이름을 가지고 있었고 519.exe 파일의 경우 아이콘이 ini 파일의 아이콘을 가지고 있었습니다.

파일명 File Size md5sum
519.exe 464891 byte
c855c9cb654ffdd5d05e24a73896d949
522.exe 464379 byte
4a779c24f2d7535fa823bad27b444e0d
523.exe 464398 byte
2dec5b260113417fcfb826948941f19f


보시다시피 파일사이즈도 약간씩 다르고 md5sum값도 다르긴 하지만 실제 악성코드 실행시 행동은 동일하였습니다.
따라서 본 분석에서는 실제 허니넷에서 탐지되었던 523.exe를 분석하도록 하겠습니다.

523.exe를 실행하면 3개의 새로운 파일이 생성되었고 1개의 서비스가 등록되었습니다.






성성된 파일 중 systemServer.exe는 서비스를 구동하기 위한 파일이었고 원본 악성코드와 동일한 사이즈를 가지고 있는 동일한 파일이었습니다.




systemServer 서비스 속성입니다.




systemServer.exe 파일은 spoolsv.exe, explorer.exe, winlogon.exe 프로세스가 실행되고 있는지 차례대로 검사합니다.
만약 있다면 해당 프로세스에 revreSmetsys.dll 파일을 인젝션시켜 실행시킵니다.




악성코드 실행 당시엔 spoolsv.exe 프로세스가 실행되고 있어서 spoolsv.exe에 revreSmetsys.dll을 인젝션시켜 실행시키고 있습니다.




그리고 spoolsv.exe 프로세스는 www.520iq.com/ip.txt 파일을 요청하는 HTTP 패킷을 전송합니다.
ip.txt 파일에는 http://124.72.93.158:8761 이라는 내용이 들어 있습니다.
이것은 124.72.93.158의 8761번 포트로 연결하라는 의미로 해석할 수 있습니다.




위 패킷을 보시면 124.72.93.158의 8761번 포트로 연결을 시도하지만 실제 연결은 되지 않고 있습니다.

즉, www.520iq.com은 거쳐가는 하나의 관문 정도로만 생각할 수 있고 실제 C&C 서버는 124.72.93.158일 가능성이 큽니다.
하지만 연결이 되지 않고 있기 때문에 정확하다고 말하기는 좀 힘들 듯 합니다.



어찌되었던 www.520iq.com과 124.72.93.158은 악성 사이트라고 간주할 수 있겠습니다.


아...그리고 zkeyHook.dll은 실행 당시 어떠한 프로세스에서도 사용하고 있지 않은 것으로 보아
124.72.93.158에 접속이 된 경우에 사용되는 파일인 것으로 추정되니다.



오늘도 빈약한 분석글 읽으시느라 고생하셨습니다.
앞으로는 좀 더 양질의 분석글이 되도록 하겠습니다. ^^;;\





Posted by demantos
0x02 analysis2009. 5. 25. 15:09

허니넷 Dropper에서 획득한 파일에 대한 분석입니다.

획득한 파일의 파일 사이즈와 md5sum입니다.

File size : 552,960 byte
md5sum : 49a84bd7144ae8384b9fb2e01572f2ad

해당 파일 실행시 파일을 1개 생성하고 1개를 삭제하며 서비스를 1개 등록합니다.






삭제된 파일인 ieapfltr.dat는 피싱필터에 사용되는 파일이었습니다.

새롭게 생성되는 amdcpusetup.exe 파일은 원본 파일과 동일한 파일이었고 이 파일을 통해서 LanmandeQorkstation 서비스가 구동되고 있었습니다.




원본 파일과 동일한 사이즈를 가지고 있었으며 md5sum값도 동일하였습니다.
그리고 해당 파일은 LanmandeQorkstation 서비스를 구동하는 실행파일이었습니다.





그리고 해당 파일 실행 후 파일을 생성하고 서비스를 등록한 후에는 iexplorer 프로세스를 실행하여 www.gaogm.com으로 연결하고 있었습니다.




www.gaogm.com으로 접속한 후 ok.jpg 파일을 받는데 ok.jpg 파일은 이미지 파일이 아니고 아래 내용이 있었습니다.

  http://61.131.15.131:8000/www/root/

처음에는 www.gaogm.com의 80번 포트로 연결을 하고 ok.jpg 파일을 다운 받은 후 8000번 포트로 연결하는 것을 확인하실 수 있습니다.
8000번 포트로 연결 후에는 클라이언트가 서버(www.gaogm.com)으로 자신의 운영체제 정보를 전송하고 있습니다.

 Windows XP 5.1 (2600.Service Pack 3)............GUOCYOK88.....GUOC..

(중간에 일부 쓸데 없는 글자는 삭제하였습니다.)

8000번으로 접속 후 운영체제 정보를 전송하는 것으로 보아 www.gaogm.com 도메인은 C&C인 것으로 판단됩니다.
netbot과 같은 악성코드들에 감염된 PC들도 C&C 서버로 접속시 자신의 운영체제 정보를 전송하고 있었기 때문입니다.
확실한건 아니지만 지금까지 나왔던 패턴으로 보아 C&C일 가능성이 가장 큽니다.

그리고 V3나 Virobot, nProtect에서는 아직 탐지되지 않고 있었습니다.

안티바이러스 엔진 버전 정의 날짜 검사 결과
a-squared 4.0.0.101 2009.05.25 Backdoor.Win32.Hupigon!IK
AhnLab-V3 5.0.0.2 2009.05.25 -
AntiVir 7.9.0.168 2009.05.24 BDS/Hupigon.Gen
Antiy-AVL 2.0.3.1 2009.05.22 -
Authentium 5.1.2.4 2009.05.24 W32/Hupigon.K.gen!Eldorado
Avast 4.8.1335.0 2009.05.24 -
AVG 8.5.0.339 2009.05.24 BackDoor.Hupigon5.GHS
BitDefender 7.2 2009.05.25 Backdoor.Hupigon.AAFC
CAT-QuickHeal 10.00 2009.05.23 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.24 -
Comodo 1157 2009.05.08 -
DrWeb 5.0.0.12182 2009.05.24 BackDoor.Pigeon.15147
eSafe 7.0.17.0 2009.05.24 -
eTrust-Vet 31.6.6519 2009.05.23 -
F-Prot 4.4.4.56 2009.05.24 W32/Hupigon.K.gen!Eldorado
F-Secure 8.0.14470.0 2009.05.25 -
Fortinet 3.117.0.0 2009.05.25 -
GData 19 2009.05.25 Backdoor.Hupigon.AAFC
Ikarus T3.1.1.49.0 2009.05.25 Backdoor.Win32.Hupigon
K7AntiVirus 7.10.741 2009.05.21 -
Kaspersky 7.0.0.125 2009.05.25 -
McAfee 5625 2009.05.24 New Malware.ix
McAfee+Artemis 5625 2009.05.24 New Malware.ix
McAfee-GW-Edition 6.7.6 2009.05.24 Trojan.Backdoor.Hupigon.Gen
Microsoft 1.4701 2009.05.24 Backdoor:Win32/Hupigon.gen!B
NOD32 4099 2009.05.25 -
Norman 6.01.05 2009.05.22 -
nProtect 2009.1.8.0 2009.05.24 -
Panda 10.0.0.14 2009.05.24 Suspicious file
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.25 -
Rising 21.31.00.00 2009.05.25 Backdoor.Win32.Gpigeon2008.cch
Sophos 4.42.0 2009.05.25 -
Sunbelt 3.2.1858.2 2009.05.24 VIPRE.Suspicious
Symantec 1.4.4.12 2009.05.25 -
TheHacker 6.3.4.3.331 2009.05.25 -
TrendMicro 8.950.0.1092 2009.05.25 -
VBA32 3.12.10.5 2009.05.25 OScope.Backdoor.Hupigon.axbr
ViRobot 2009.5.25.1750 2009.05.25 -
VirusBuster 4.6.5.0 2009.05.24 -



바이러스랩님께 파일 전달했으니 nProtect는 조만간 패턴 업데이트될겁니다.





Posted by demantos
0x02 analysis2009. 5. 23. 11:12

Viruslab님의 블로그에 올라온 [Nateon]네이트온 쪽지로 신종 악성코드 유포 중 이라는 글을 보고
어...이거 본 적 있는데....하고 뒤져보니 10일 전에 회사에서 분석보고서를 썼더군요 ^^;
그때 제가 가지고 있었던 정보는 단지 도메인뿐이었습니다.
그래서 Viruslab님의 분석 글과는 약간의 차이가 있을 수 있습니다.

일단 제가 분석을 한 도메인은 www.nouydds.com 이었습니다.
해당 도메인에 접속시 www.tw-nsn.com/gif/jpg.scr로 리다이렉션 되면서 jpg.scr을 다운 받을 수 있었습니다.




특정 취약점을 공격하면 바로 실행시킬 수 있겠죠..

항상 하던 방식대로 일단 실행시켜보니 파일을 6개 생성하였고 그 중에서 5개가 실제 감염된 PC에 영향을 미치는 것으로 보입니다.




새로 생성된 파일들은 시스템 속성(S)과 숨김속성(H)을 가지고 있었습니다.
이 중 hf0214.exe와 hf0214.dll은 상당히 눈에 익었던 녀석들인데 어떤 기능을 하는 녀석들인지는 까먹었습니다. -_-;;
아무튼 hf0214.exe는 레지스트리에 등록되어 있어 재부팅시에도 실행되게끔 되어 있었습니다.




Process Explorer에서 hf0214.dll을 확인해 본 결과 현재 실행되고 있는 주요 프로세스에 인젝션되어 실행되고 있었습니다.




hf0214.dll에서 문자열만 추출해 봤더니 메이플스토리, 바람의 나라 등 게임 프로그램과 Internet Explorer를 후킹하는 듯 보였고
이렇게 후킹하여 가로챈 데이터를 HTTP를 통해서 어떤 데이터를 보내기 위한 함수들도 보였습니다.

         



단지 추측에 지나지 않을 수 있지만 URL에 특정 파라미터들이 오는지도 확인하는 듯 보입니다.




그리고 네이트온과 관계가 있어 보이는 악성코드인 ywulin.dll은 NateOnMain.exe 파일에 인젝션되어 동작하고 있었으며
네이트온 로그인시 로그인 정보를 후킹하여 특정 사이트로 전송하고 있었습니다.




후킹 함수와 URL을 오픈하는 함수가 보입니다.




이상한 URL이 보입니다.




실제로 네이트온에 가짜 계정 정보를 입력해보니 www.xdqxzq.com으로 계정 정보를 보내고 있었습니다.










결국 www.nouydds.com, tw-nsn.com, www.xdqxzq.com 모두 악성사이트라고 판단되어 모두 차단하였는데(모두 중국 IP)

URL을 변경하면서 계속 유포되고 있다고 하니 각별히 주의를 기울이셔야 할 듯 합니다.

아쉽게도 샘플파일이 없어져버려서 Virustotal에는 올려보지 못했지만 대부분 백신업체들이 해당 악성코드에 대한 패턴을 업데이트했으리라 봅니다.

바이러스랩님께서 분석글을 올리신걸 보면 nProtect는 업데이트된 듯 하구요...





Posted by demantos
0x02 analysis2009. 5. 18. 13:35

새로운(?) 도메인을 알게 되서 포스팅합니다.
hapt03.cn은 이미 잘 알려져 있는 듯 한데 국내에서는 아직인 듯 합니다.
FF로 해당 사이트에 웹으로 접속하면 경고 메시지가 뜹니다.




해당 사이트에 접속시엔 500 Internal Server Error가 나옵니다. 하지만 해당 디렉토리에는 몇개의 파일이 있는 듯 한데
그중에서 하나의 파일을 찾았습니다.

hxxp://shaody.1.jp.hapt03.cn/hack.exe

해당 파일을 다운 받으면 Antivir에서 악성코드라고 잡더군요..
바이러스토탈에 넣어 봤더니 40개 엔진중 18개에서만 탐지가 되고 있었습니다.
V3와 nProtect에서는 탐지가 되고 있었으며 바이로봇에서는 아직 탐지하지 못하는 듯 합니다.
헌데 바이로봇은 15일자 엔진으로 검색하는걸 보니 엔진 업데이트 후 탐지할 가능성도 있습니다.


일단 항상 하던대로 실행시켜보았습니다.




nvhai520.3322.org의 8800번 포트로 접속하는 것을 볼 수 있습니다. 아직도 3322.org는 애용되고 있군요...-_-;;

Winalysis에서 시스템의 변화를 살펴보니 역시나 레지스트리를 여러개 변경하였고 서비스를 하나 등록하는걸 확인하였습니다.
헌데 파일에는 변화가 없다고 나오지만 실제로 살펴보면 svchost.exe에 dll injection을 하고 있었습니다.




시간을 보시면 파일을 실행했던 시간이 나오고 있습니다. 이름부터 좀 이상하죠.. fakqvekk.dll
그리고 해당 프로세스가 nvhai520.3322.org(59.34.245.21)로 접속하는 걸 볼 수 있습니다.




도메인명이 좀 다른데 Reverse-Lookup을 해서 가져온 도메인이 원 도메인명과 약간 다른 듯 합니다.
아무튼 fakqvekk.dll이라는 파일은 새로 생성된 파일인데도 Winalysis에서 못 잡네요...
파일명은 랜덤으로 생성되는 것으로 보입니다.




그리고 다른 악성코드들과는 좀 다르게 C:\WINDOWS\ssytem32에 파일을 생성하는 것이 아니라
C:\WINDOWS\system32\drivers\etc에 생성하고 있었습니다.

그리고 특이한점은 kTGsJaDDRj.ini라는 파일을 생성한 것인데 파일엔 아무런 내용도 없었는데 파일의 크기는 3바이트였습니다.
그래서 데이터 스트림이 있는건 아닐까 하고 lads로 검사해봤지만 데이터 스트림이 숨겨져 있지는 않았습니다.

lads : http://www.heysoft.de/Frames/f_sw_la_en.htm



결국 shaody.1.jp.hapt03.cn은 Dropper임을 확인할 수 있었고 다운 받은 hack.exe라는 파일이 실행되면
nvhai520.3322.org의 8800번 포트로 연결하는 것으로 보아 nvhai520.3322.org는 C&C인 듯 합니다.

뭐...3322.org 자체가 대부분의 ISP에서 차단되어 있기 때문에 큰 영향력을 미치지는 않을 듯 합니다만
동일한 악성코드가 도메인을 바꾸거나 IP로 접속하게 할 경우엔 봇으로 동작할 우려가 아직 남아 있습니다.





Posted by demantos